Orange : une brèche dans la protection des données clients tout juste colmatée

Certains clients d’Orange ont sans doute remarqué la fermeture de l’espace commande sur le site Web de l’opérateur pendant quelque jours lors de la période des fêtes de fin d’année. Ils pouvaient lire à la place un message expliquant : « En raison d’une opération de maintenance, le service est momentanément indisponible. »

D’après le site Zataz.com, spécialisé sur les thèmes relatifs à la sécurité informatique, Orange réparait une faille sur son portail Web qui permettait aux internautes d’accéder très simplement aux données de plus de 400 000 fiches client. Rien que ça ! En fait, Zataz.com a repéré le bug et qui en ont averti les services de l’opérateur avant de répercuter l’information.

Apparemment, depuis plusieurs semaines, il était possible, en modifiant simplement les derniers chiffres de l’adresse URL de la page « Suivi des commandes » d’accéder aux informations personnelles de n’importe quel client Orange : nom, adresse, codes d’accès, références de commande, les services souscrits chez l’opérateur, etc.

La protection déjouée en quelques clics

Normalement, un protocole https (« s » pour secured ou sécurisé) permet aux internautes de consulter leurs données en ligne de manière protégée. C’est-à-dire sans que quiconque ne puisse intercepter la communication ainsi établie entre l’internaute et le propriétaire du site Web.

Ce système est beaucoup utilisé par les banques et autres institutions abritant des données à risque sur leurs serveurs Web. Mais, dans le cas d’Orange, cette couche de protection ne fonctionnait pas.

Zataz.com affirme que même si l’URL de la page était codée, quelques clics suffisaient pour déjouer la protection et voir « apparaitre l’url lisible et exploitable par n’importe quel internaute ». Le site diffuse une vidéo sur YouTube montrant comment il était possible d’accéder aux données des clients d’Orange.