Les boules
Française des Jeux : et de deux pour une faille majeure de sécurité sur les données personnelles
Alors que la Française des Jeux a connu une faille de sécurité importante paralysant son système le week-end du 14/15 avril, la société en cours de privatisation aurait connu une deuxième fuite de données personnelles. Cette fois, c’est le personnel qui est concerné !
Jamais deux sans trois dit l’adage. Après l’énorme incident du week-end du 14/15 avril que la FDJ présentait comme « un bug d’affichage » mais qui ressemblait plutôt à une fuite de données personnelles des utilisateurs, Damien Bancal, journaliste spécialisé en cybersécurité, explique que la FDJ aurait connu une deuxième faille simultanée de données personnelles. Et cette fois, c’est directement le personnel qui aurait été touché
Nom, prénom, poste, mails professionnels, téléphone, CDI ou CDD…
Serait-ce la boite de Pandore qui se serait ouverte ? En tous cas, les affirmations de Damien Bancal, fondateur du site Zataz du nom du protocole qui permet d’identifier les cyber-failles de sécurité des sites web, font froid dans le dos.
Un domaine de la société (projets-ssi-fdj.fr) s’ouvrait au regard des internautes. A la base, projets-ssi-fdj.fr demandait une authentification (login et mot de passe). Sauf qu’un sous domaine accolé à cette url permettait d’accéder aux données sans plus aucun sésame. Finis le login et le mot de passe. Bilan, [lesousdomaine].projets-ssi-fdj.fr offrait la possibilité de regarder du côté des 704 applications informatique de la FDJ, mais pas seulement !
Seulement, cette porte d’entrée menait à d’autres informations très sensibles, surtout à quelques semaines de l’application du RGPD. Ironiquement, le serveur destiné à responsabiliser le personnel de la FDJ était assez simplement accessible via l’adresse sensibilisation-ssi-fdj.fr.
N’importe qui pouvait alors avoir accès à toutes les données que possède l’entreprise sur son personnel, à savoir : nom, prénom, poste, identifiant du manager, adresses mails professionnelles, tokens d’authentification aux services, types du contrat (CDD, CDI, prestataires, stagiaires…), dates de début et de fin de contrat, numéros de téléphones professionnels et matricules.
Cerise sur la gâteau, Damien Bancal explique aussi avoir eu accès à un « shell » (un explorateur de fichier rendu à son plus simple appareil, aussi appelé interpréteur de commande) qui contenait l’intégralité des projets actuels et futurs de la FDJ, le tout répertorié dans un tableur Excel.
Un espace qui contenait aussi le nom des projets, leur description ainsi qu’un document XLSX (doc) recensant des caractéristiques techniques sur la nature des projets tels que : version de serveur, type de connexion. etc. Bref, une mine d’informations pour quelqu’un ayant de mauvaises intentions.
Nous avons posé plusieurs questions à la FDJ. Nous sommes actuellement en attente de leurs répContactée par nos soins, la Françaises des jeux à souhaiter répondre à nos interrogations.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !