Leclerc - Des failles de sécurité découvertes sur la carte de fidélité
Date 20-11-2017 11:43:09 | Sujet : Internet
| Le portail du distributeur Leclerc doit faire face aujourd’hui à plusieurs failles de sécurité plutôt gênantes sur ses cartes de fidélités. Découvertes le 17 novembre dernier, les failles n’ont toujours pas été corrigées. Les explications…
Tout le monde aujourd’hui possède une carte de fidélité que ce soit d’un magasin spécialisé ou d’une grande surface. Mais des données sensibles y sont aussi stockées ce qui peut s’avérer problématique dans le cas d’une faille de sécurité.
Et c’est cette dernière qu’à découvert « Duchnoun » il y a quelques jours, plusieurs failles qui permettent le plus simplement du monde d’accéder aux informations concernant la carte de fidélité du distributeur. Dans les faits, il faut tout de même connaitre le numéro de la carte de fidélité pour les deux failles et le code de sécurité pour l’une d’elles, mais les informations sont accessibles sans contrôle de l’adresse tapée dans le navigateur ni captcha de sécurité.
Comme l’explique le site Internet « Askim » à l’origine de cet article, plusieurs failles ont été découvertes par Duchnoun il y a quelques jours et sont susceptibles d'être exploitées par un pirate. Pour vérifier cette annonce, nous avons voulu en savoir plus et nous l’avons testé avec une carte valide ce qui nous a renvoyé toutes les informations concernant cette dernière.
La première concerne la page « secure.e-leclerc.com/secure /client/info/XXXXX/ soldeGainCarte » ou en remplaçant les « X » par le code de la carte permet de connaitre le solde de cette dernière.
La seconde plus problématique, mais qui nécessite le code de sécurité de la carte permet d’accéder à des informations plus sensibles. En se rendant sur la page « parapharmacie.leclerc / ajaxCarteFidelite.php?num=XXXX&code=YYYY » et en remplaçant les « X » et « Y » par le code de la carte et le code de sécurité on peut accéder aux informations du propriétaire de la carte comme le nom, le prénom, la date de naissance, l’adresse et le numéro de téléphone…
Dans les deux cas, les informations sont affichées dans le navigateur en clair et sans qu’un « captcha » ne soit demandé ou au mieux que la page ne vérifie si une session est en cours via un cookie ou un token de sécurité.
Et le problème peut s’avérer plus grave qu’il n’y parait, car en créant de nouvelles cartes de fidélité sur le site de la parapharmacie, on s’aperçoit que les codes se suivent et se ressemblent. Un pirate pourrait donc s’en inspirer pour tenter de récupérer les informations de votre carte par une méthode de « brute force ». De là à se dire qu’il peut être possible par la suite de voler une carte d’un client et ensuite de s’en servir pour dépenser en magasin, il n’y a qu’un pas…
Le site marchand a été informé des failles découvertes, mais il semble qu’il tarde à sécuriser son site Internet, alors que ces dernières datent de quelques jours déjà !
|
|