Près de 400 000 factures et 800 000 mails contenant des données personnelles de clients de stations de ski ont été accessibles en ligne pendant un mois à cause d'une faille de sécurité. Plusieurs stations de ski des Alpes sont concernées.
Les données personnelles de centaines de milliers de skieurs ont été exposées, pendant des semaines, à cause d'une faille de sécurité. Ces faits, révélés par BFMTV et confirmés par plusieurs sources interrogées par France 3 Alpes, remontent au mois de février 2020. Chamrousse, Val Thorens, Valmorel, Megève, Chamonix... Toutes ces stations ont été impactées à la suite d'"une erreur humaine", selon le sous-traitant en charge de la vente en ligne des forfaits de ski.
En clair, de quoi s'agit-il ? Environ 800 000 skieurs ont reçu un mail après l'achat d'un forfait, entre le 5 février et le 5 mars. Rien d'anormal jusqu'ici, sauf que le mail en question contenait un lien vers leur facture qui était accessible en ligne. Et cette dernière était librement consultable par n'importe qui disposant du lien, sans avoir à se connecter à un compte personnel. Résultat : un internaute aguerri pouvait modifier l'URL de sa facture pour consulter celle d'un autre client, car les numéros de facture se suivaient.
Ces documents contiennent les noms, prénoms, date de naissance et adresse postale de chaque client. Autant d'informations accessibles en ligne pendant un mois. En tout, cela représente 400 000 factures et 800 000 mails. "Aujourd'hui, nous pouvons affirmer qu'il n'y a pas eu de fuite de données", assure Alexandre Brouchoud, directeur général de JB Concept, entreprise basée à Echirolles (Isère), dans la métropole grenobloise. C'est cette entreprise qui assure la vente en ligne de forfaits pour plusieurs stations, notamment dans les Alpes.
Pas d'utilisation malveillante
Les données bancaires des clients n'ont pas été exposées, affirme l'entreprise qui dit n'en stocker aucune. Elle explique avoir remédié au problème "le soir-même", après avoir appris l'existence de la faille. C'est un hacker "éthique", en vacances à Chamrousse, qui a constaté la faille.
"Pour vérifier l’ampleur de la faille, j’ai développé un programme capable de générer des identifiants clients et vérifier l’existence de factures associées. Le logiciel en a retrouvé une quinzaine en quelques minutes. Surtout, nous avons découvert que Chamrousse était loin d’être la seule station de ski touchée", indique Alexandre Pages à BFMTV. Le directeur général de JB Concept ajoute qu'un audit a été mené par ce même hacker à la suite de ses révélations. Ce qui lui permet d'avancer qu'aucune donnée n'a été utilisée à des fins malveillantes.
Contactées, plusieurs stations concernées confirment ces informations, sans souhaiter s'exprimer davantage sur l'affaire. Toutes assurent que la brèche a été colmatée dès qu'elle a été découverte, et que la réservation de forfaits en ligne est de nouveau possible en toute sécurité.
