En période de vacances, les données personnelles des clients de Selectour fuitent sur le net

En quelques clics, il était facile pour des pirates d’accéder aux données personnelles des clients et vendeurs de l’agence de voyage en ligne Selectour. Une faille qui aurait été corrigée. 

La période est particulièrement critique. En plein mois de juillet, nombreux sont ceux qui cherchent le bon plan pour partir en vacances. Dans ce cas, plusieurs opérateurs proposent des « bons plans » et autres « deals éclairs ».

Pour autant, certains ne sont pas encore au fait du RGPD dont l’entrée en vigueur était le 28 mai dernier. C’est le cas de « Selectour », coopérative qui regroupe plus de 1 200 agences de voyages et qui propose des « voyages pas cher ».

Une API qui laisse filtrer nom, prénom, adresse physique, mail et téléphone

Là encore, pas besoin d’être un génie de l’informatique pour avoir accès aux données personnelles des clients enregistrés sur la plateforme. Comme le confie Damien Bancal, journaliste spécialisé en cyber-sécurité, « la fuite était conséquente et concernait l’API du site. »

[Après l’inscription], mon prénom est apparu dans un URL. Accolé à ce prénom, l’intégralité des informations … des voyages des autres clients prénommés Damien ! Autant dire que mettre un autre prénom dans l’url n’était qu’un jeu d’enfant.

Damien Bancal, journaliste

En quelques clics, l’API concernée faisait apparaître les données des clients mais aussi des vendeurs avec toutes les données personnelles collectées : nom, prénom, adresse physique et mail, numéro de téléphone, contrats, mais aussi situation familiale, numéros de passeport, date d’émission… Bref, la totale comme on dit vulgairement.

Selectour, la prise de conscience forcée

Contactée par Damien Bancal, l’entreprise n’a d’abord pas souhaiter répondre aux sollicitations. Un déni aussi facilement compréhensible qu’il est peu moral ou éthique. Il ne faut pas oublier que l’on est en juillet, soit en pleine période de vacances. Si la plateforme devait être mise à l’arrêt pour résoudre le problème, cela représenterait sans doute une forte baisse de chiffres d’affaires.

Mais la donne a, semble-t-il changé, dès que la CNIL fut prévenue. Damien Bancal explique que « la CNIL a été mise dans la boucle et a fait corriger le problème. » 

Le 16 juillet, Selectour faisait tout de même passer un tweet pour répondre à Damien Bancal. L’entreprise affirme que « cette faille ponctuelle a été décelée en avril et aussitôt corrigée. Les investigations ont démontré qu’aucune exploitation de cette faille n’avait été faite. »

Pour autant, lorsque l’on jette un rapide coup d’oeil sur le fil Twitter de Selectour, aucune trace d’une quelconque communication au public. A croire que l’entreprise ne souhaiterai pas informer ses clients que leurs données ont été, pour une durée indéterminée, facilement disponibles sur le net. 

Article mis à jour le 26/07/2018 suite à une demande express de Selectour

Une API est une interface de programmation qui permet de se « brancher » sur une application pour échanger des données.

1 commentaire sur En période de vacances, les données personnelles des clients de Selectour fuitent sur le net

  1. Si ne serait-ce que les lois existantes étaient appliquées, il est clair que Selectour aurait de graves ennuis (on pense aussi au passage à d’autres grosses entreprises françaises, notamment dans les telecoms.)

    Vérité pour les autres, omerta ici – pas grave, on a l’habitude (ce qui ne veut certainement pas dire que l’on cautionne…)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Lire les articles précédents :
France : Le salafisme… Bientôt considéré comme une secte ? suite et fin…

Pour lutter contre le salafisme,  M. Bernard CAZEAU, présentait Lundi 9 juillet, le rapport de la commission d’enquête sénatoriale sur l’évolution de la menace...

Fermer