Pour gérer vos consentements :
Categories: Cloud

Orange : une brèche dans la protection des données clients tout juste colmatée

Certains clients d’Orange ont sans doute remarqué la fermeture de l’espace commande sur le site Web de l’opérateur pendant quelque jours lors de la période des fêtes de fin d’année. Ils pouvaient lire à la place un message expliquant : « En raison d’une opération de maintenance, le service est momentanément indisponible. »

D’après le site Zataz.com, spécialisé sur les thèmes relatifs à la sécurité informatique, Orange réparait une faille sur son portail Web qui permettait aux internautes d’accéder très simplement aux données de plus de 400 000 fiches client. Rien que ça ! En fait, Zataz.com a repéré le bug et qui en ont averti les services de l’opérateur avant de répercuter l’information.

Apparemment, depuis plusieurs semaines, il était possible, en modifiant simplement les derniers chiffres de l’adresse URL de la page « Suivi des commandes » d’accéder aux informations personnelles de n’importe quel client Orange : nom, adresse, codes d’accès, références de commande, les services souscrits chez l’opérateur, etc.

La protection déjouée en quelques clics

Normalement, un protocole https (« s » pour secured ou sécurisé) permet aux internautes de consulter leurs données en ligne de manière protégée. C’est-à-dire sans que quiconque ne puisse intercepter la communication ainsi établie entre l’internaute et le propriétaire du site Web.

Ce système est beaucoup utilisé par les banques et autres institutions abritant des données à risque sur leurs serveurs Web. Mais, dans le cas d’Orange, cette couche de protection ne fonctionnait pas.

Zataz.com affirme que même si l’URL de la page était codée, quelques clics suffisaient pour déjouer la protection et voir « apparaitre l’url lisible et exploitable par n’importe quel internaute ». Le site diffuse une vidéo sur YouTube montrant comment il était possible d’accéder aux données des clients d’Orange.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago