Rapport : Une appli de La Poste subit une fuite de données

Menée par Noam Rotem et Ran Locar, l’équipe de recherche de vpnMentor a découvert une fuite sur une base de données appartenant à Genius, une application Android créée par le service postal français La Poste.

Genius est une appli de caisse connectée qui intègre de nombreux processus différents afin d’aider les propriétaires de petits magasins. Les bases de données en question concernent principalement les paiements faits via l’appli.

Avec plus de 23 millions enregistrements, il s’agit d’une énorme brèche de sécurité des données, et les utilisateurs de Genius dans toute la France sont désormais vulnérables.

Si des hackers malveillants ont également découvert cette base de données, les conséquences pourraient être désastreuses pour les personnes exposées.

Profil d’entreprise de La Poste

La Poste est le service postal principal en France. Elle appartient majoritairement au gouvernement français, et fonctionne aussi dans des territoires d’outre-mer liés au pays.

La Poste est le deuxième plus gros employeur de France, et comme beaucoup de services postaux, elle s’est diversifiée, au-delà de la simple livraison postale. Ses opérations incluent des services d’assurance, des services bancaires, l’hébergement d’e-mails, et bien plus encore, à destination de particuliers.

L’entreprise propose également des services pour les petites et moyennes entreprises (PME) françaises. Ces services incluent Genius, l’appli de caisse connectée. En plus de gérer les paiements des clients, Genius assiste les PME pour la gestion d’inventaire, le traitement et l'analyse des données, la comptabilité, et d’autres processus clés.

Genius est présentée aux PME comme « une solution modulaire qui s’adapte à tous vos besoins… et à votre budget ! ».

Chronologie de la découverte, et de la réaction du propriétaire

Parfois, la portée d’une fuite de données et son propriétaire sont évident et le problème est vite résolu. Mais ces cas restent très rares. La plupart du temps, il nous faut plusieurs jours d’enquête avant de connaître les implications, et savoir qui est responsable de ces fuites de données.

Comprendre une fuite et ses implications prend du temps et de l’attention. Nous travaillons dur pour publier des rapports précis et dignes de confiance, en nous assurant que tous ceux qui les lisent comprennent la gravité de la situation.

Certaines parties touchées nient les faits, ne tiennent pas compte de nos recherches ou minimisent l’impact de ces fuites. Nous devons donc être méticuleux, et nous assurer que tout est correct dans nos recherches.

Dans ce cas précis, quand nous avons identifié La Poste comme propriétaire de la base de données, nous les avons contactés pour leur faire part de notre trouvaille. En attendant une réponse de La Poste, nous avons contacté leur entreprise d’hébergement et la Commission nationale de l'informatique et des libertés (CNIL). La base de données a été fermée près de 3 semaines après notre premier contact avec la CNIL.

• Date de la découverte : 11/11/19
  
• Date de prise de contact : 13/11/19
  
• Date de prise de contact avec la CNIL : 18/11/19
• Date de fermeture de la fuite: 8/12/19

Exemples d’entrées de la base de données

Selon les conditions générales d’utilisation de Genius, La Poste s’engage à :

« mettre en œuvre les mesures nécessaires afin de protéger les Données à caractère personnel contre une destruction fortuite ou illicite, une perte accidentelle, une altération, une divulgation ou un accès non autorisé »

« notifier au client, sous 48 heures à partir du moment où il en a connaissance, toute violation de Donnés à caractère personnel »

Toutefois, selon nos recherches, la base de données exposée n’a pas été suffisamment protégée. Elle laisse s’échapper des informations sensibles, véritable mine d’or pour les criminels et les hackers malveillants.

Notre équipe a découvert plus de 15 Go d’informations sensibles, avec 23 millions d’enregistrements venant de PME françaises, belges, suisses, italiennes, espagnoles,...

Les saisies de la base de données sont liées à des paiements faits par des clients via Genius, ainsi qu’à d’autres fonctions de l’appli app.

Chaque entrée contenait différentes formes de données, selon les actions effectuées par l’utilisateur. Elles contenaient aussi des Informations personnellement identifiables (IPI)  des utilisateurs de Genius et de leurs clients, ainsi que des informations sensibles sur les finances et les opérations de l’entreprise.

Les données utilisateurs visibles dans la base de données incluent :

• Les noms complets, les adresses mail, les numéros de téléphone, les dates de naissance des utilisateurs de l’appli;
• La ville de résidence de l’entreprise et les codes postaux des utilisateurs;
• Des informations sur les produits vendus (étiquette, prix, code barre, etc) et les transactions faites via Genius;
• Des informations sur les vendeurs (nom, email, numéro de téléphone);
• Les factures envoyées aux clients et aux fournisseurs;
• L’inventaire de l’entreprise utilisant Genius;
• Des entrées test et réelles de produits;
• Les adresses mails des clients ayant reçu une facture via Genius;
• La valeur totale des transactions commerciales faites par une entreprise via Genius;
• Le numéro de Siret des entreprises;
• Et bien plus encore.

Voici un exemple d’utilisateur Genius qui fait son rapprochement comptable de fin de journée sur l’appli (les valeurs des devises sont indiquées en centimes. Par exemple, « 10150 » = 101,50 €). C’est un exemple parmi tant d’autres des fuites de données financières sensibles relatives à une entreprise de cette base de données :

Dans l’exemple suivant, des données appartenant à une entreprise et à l’un de ses employés ont été exposées suite à une action effectuée sur l’appli Genius :

Dans ce dernier exemple, les IPI d’un client sont exposées :

Genius est utilisée par des PME en France, ainsi que dans d’autres pays européens comme la Belgique, la Suisse, l’Italie et l’Espagne. Cela signifie donc que la base de données contient des enregistrements touchant des tas d’industries différentes au sein de chacun de ces pays.

Les exemples d’entreprises exposées incluent :

• Nilaï – un magasin de bijoux à Paris
• By164 - un magasin de bijoux à Paris
• Lovat&Green – un marchand de vêtements unisexes basé à Bilbao, Espagne
• Manta – une boutique de souvenirs français, qui expédie beaucoup dans le reste de l’Europe
• Louisette – une boutique de cadeaux
• MHD Restauration – un restaurant indépendant

*Note : Louisette et MHD sont des utilisateurs de Genius cités sur le site web de ce dernier, qui ont partagé des témoignages positifs sur le service.

En plus d’exposer les clients de leur appli, la fuite a aussi mis en danger des employés de La Poste.

Lors des recherches, notre équipe a aussi vu les IPI d’employés de La Poste, comme leurs noms, leurs adresses mail et leurs numéros de téléphone, ainsi que les « valeurs test » des produits de l’appli. Nous pensons qu’il s’agit d’employés testant l’appli en interne.

Impact de cette fuite de données

Cette fuite de données est une sérieuse violation des protocoles de sécurité des données de La Poste et des développeurs de cette appli. Si La Poste peut être louée pour sa transparence en ce qui concerne la protection des données de ses utilisateurs, les découvertes de notre équipe indiquent qu’elle n’a pas pris suffisamment de mesures pour protéger lesdites données.

Si des criminels ou des hackers malveillants avaient accédé à ces données, il y aurait des implications sérieuses pour la confidentialité et la sécurité des personnes affectées.

Pour La Poste et Genius

Une fuite de cette nature soulèvera des questions sur les pratiques de sécurité en matière de données de La Poste, et pas seulement pour Genius, mais pour l’ensemble de ses opérations et de son réseau d’entreprises.

Si nous travaillons à résoudre cette fuite, les futurs clients Genius peuvent hésiter à ajouter l’appli à leurs opérations commerciales. La Poste peut avoir du mal à garder la confiance des PME après cette découverte, et risque d’avoir mauvaise réputation dans les communautés d’entreprises françaises.

En tant que premier service postal français, avec des clients dans toute l’Europe, La Poste est sous la juridiction de l’Union Européenne et du RGPD. La Poste reconnait même le RGPD, sans pour autant le nommer, dans ses Conditions générales.

En ne protégeant pas les données des utilisateurs de Genius et de leurs clients, La Poste peut être tenue pour responsable par les autorités compétentes et risquer des actions en justice et des amendes.

Pour les utilisateurs de Genius

Les données sensibles exposées par cette base de données rendent les utilisateurs de Genius et leurs entreprises vulnérables à des tas d’attaques et d’arnaques.

Par exemple, en utilisant les IPI, et les données commerciales et financières, des criminels pourraient créer des campagnes de phishing efficaces. Une campagne de phishing implique de créer des emails frauduleux imitant de véritables entreprises ou agences gouvernementales pour tromper les victimes et les pousser à :

• Révéler des informations supplémentaires comme des mots de passes et des identifiants de comptes privés;
• Donner accès à des comptes bancaires ou des cartes bancaires;
• Cliquer sur un lien qui installe un logiciel malveillant comme un malware, un ransomware, un spyware, ou des virus.

Si un hacker ayant accès à ces données parvenait à calculer la valeur moyenne des transactions sur Genius, il pourrait créer une méthode pour voler de l’argent à un utilisateur, sous forme de petites ou de grosses sommes.

Retrouver ces fonds volés peut être un processus long, difficile et beaucoup trop compliqué pour la plupart des propriétaires de PME.

Cette fuite a également créé un danger physique potentiel pour les propriétaires de boutiques. Les rapprochements comptables de fin de journée effectués par les utilisateurs de Genius indiquent le montant total de liquide présent sur les lieux. Cela donne aux voleurs potentiels une idée du meilleur moment pour cambrioler les locaux pour y dérober de l’argent liquide.

Comme pour tous les totaux listés, dans l’extrait de code suivant, la valeur « 10150 » est égale à 101,50 dans la devise de l’utilisateur.

De plus, comme les fuites exposent aussi les clients de ces entreprises, leurs propriétaires pourraient subir une perte de clients, qui n’auront plus confiance en ces entreprises qui utilisent Genius pour protéger leurs données.

Enfin, les utilisateurs de Genius pourraient être vulnérables à des actions malhonnêtes entreprises par leurs concurrents. Avec un accès aux analyses de données sur les ventes et la tarification, la concurrence pourrait proposer des offres plus compétitives. Ce qui aurait pour conséquence d’éloigner encore plus les clients des entreprises exposées.

Conseils d’experts

La Poste et les développeurs de Genius auraient facilement pu éviter cette fuite en prenant des mesures de sécurité simples pour protéger la base de données. Elles incluent, sans s’y limiter :

1. La sécurisation des serveurs
2. La mise en place de règles d’accès solides
3. Et ne jamais laisser un système qui n’a pas besoin d’authentification ouvert sur internet.

N’importe quelle entreprise peut prendre ces mesures, peu importe sa taille.

Pour un guide détaillé sur les manières de protéger votre entreprise et vos bases de données en ligne contre les hackers, allez voir notre guide de sécurisation de votre site web.

Pour les utilisateurs de Genius

Selon ses Conditions d’utilisation, La Poste est tenue de prévenir ses utilisateurs de « toute violation des Données à caractère personnel » dans les 48 heures.

« Dans ce contexte, La Poste communiquera au Client toutes les informations dont elle dispose sur les conditions entourant cette violation des Données à caractère personnel »

Nous espérons qu’ils respecteront leurs obligations et informeront tous ceux qui sont touchés par cette fuite.

Si vous êtes client de La Poste Genius et que vous vous inquiétez de la manière dont cette fuite peut vous affecter, La Poste offre des instructions pour communiquer vos inquiétudes :

« Dans le cadre de la politique de protection des données personnelles de La Poste, vous pouvez contacter Madame la déléguée à la protection des données, CP C703, 9 Rue Colonel Pierre Avia, 75015 PARIS.

En cas de difficulté dans la gestion de vos données personnelles, vous pouvez introduire une réclamation auprès de la CNIL. »

Pour les propriétaires de PME

Si vous avez une PME et que vous vous inquiétez à propos des effets que pourraient avoir la vulnérabilité de vos données sur votre entreprise et vos clients, lisez notre guide complet de la confidentialité en ligne pour les PME.

Cet article détaille les nombreuses manières dont les cybercriminels ciblent les PME, et les mesures que vous pouvez prendre pour vous protéger.

Comment et pourquoi nous avons découvert la fuite

L’équipe de recherche de vpnMentor a découvert la fuite des bases de données La Poste dans le cadre d’un immense projet de cartographie du web. Nos hackers éthiques utilisent le scan de ports pour examiner des blocages d’IP particuliers et tester les faiblesses des systèmes. Ils examinent minutieusement chaque trou, pour voir si des données s’en échappent.

Lorsqu’ils trouvent une fuite de données, ils utilisent des techniques d’experts pour vérifier l’identité de la base de données. Si possible, nous alertons ceux qui sont affectés par les fuites.

Notre équipe a pu accéder à cette base de données parce qu’elle était complètement ouverte, non sécurisée et non cryptée.

La Poste utilise une base de données Elasticsearch, ordinairement non destinée à un emploi URL. Toutefois, nous avons pu y accéder par navigateur et manipuler les critères de recherche URL afin d’exposer les schémas.

Le but de ce projet de cartographie du web est de contribuer à faire d’internet un endroit sûr pour tous les utilisateurs.

En tant que hackers éthiques, nous sommes obligé d’informer une entreprise lorsque nous découvrons des failles dans leur sécurité en ligne. C’est tout particulièrement vrai quand la brèche contient des données personnelles et financières aussi sensibles.

Cela veut aussi dire que nous avons des responsabilités envers le public. Les clients et utilisateurs de Genius doivent être conscients qu’une fuite de données peut avoir de gros impacts sur eux.

À propos de nous et de nos rapports précédents

vpnMentor est le plus gros site de comparaison de VPN au monde. Notre labo de recherche est un service bénévole qui a pour but d’aider la communauté en ligne à se défendre contre les cybermenaces tout en éduquant les organisations sur la protection des données de leurs utilisateurs.

Nous avons récemment découvert une fuite de données exposant les données des clients d’un groupe d’hôtellerie français appartenant à Accorhotels. Nous avons également révélé une fuite chez la plateforme de réservation de vol française Option Way, qui compromettait la confidentialité de leurs clients. Vous pourriez aussi apprécier notre rapport sur les fuites de VPN et sur les statistiques de la confidentialité des données.