lundi 22 septembre 2008

Comment j'ai repéré une faille de sécurité chez Empruntis.com

Pour un premier contact, ce fut un peu raté. Soucieux de tester, pour Vnunet.fr, le site Jechange.fr (comparateur généraliste dans le secteur des services), j'ai demandé, vendredi 19 septembre, des devis pour une assurance-santé. Première surprise : dès que l'on clique sur l'onglet "assurance" de Jechange.fr, le contenu est fourni par un prestataire, Empruntis.com, "spécialiste en crédit immobilier, crédit conso, assurances, placements et rachat de crédit".

"Nous n'avons pas encore tout développé nous-même", explique Gaël Duval, co-fondateur, avec Renaud Beaupère, de Jechange.fr. "Pour l'instant, nous sous-traitons le mobile à Meilleur Mobile, qui est également partenaire de Kelkoo, et nous sous-traitons l'assurance à Empruntis.com. Ces deux parties devraient être réalisées en interne début 2009."

Seconde déconvenue : après avoir consciencieusement rempli ma demande (une assurance-santé), sélectionné un prestataire et demandé un devis, je me suis retrouvé sur une fiche récapitulative… qui n'était pas la mienne ! Sont apparus les noms et coordonnées d'une personne que je ne connaissais ni d'Eve, ni d'Adam ! Pour vérifier qu'il ne s'agissait pas d'une fiche "virtuelle" (par exemple, pour expliquer quelles informations il fallait donner), j'ai appelé cet inconnu.

Il m'a répondu qu'il avait effectivement demandé à comparer des offres de crédit il y a environ cinq ans, que l'adresse postale qui figurait sur sa fiche n'était plus valable depuis longtemps, mais qu'en revanche, son mail et son numéro de mobile (qu'il ne possédait pas à l'époque - ce qui laissait supposer qu'il y avait eu croisement avec des bases de données plus récentes) étaient exacts.

Interrogé, Gaël Duval s'est tourné vers son prestataire. Empruntis lui a répondu quelques heures plus tard : "suite à une mise à jour récente en assurance santé, une fonction ne réagissait plus comme prévu dans le cas d'une chaîne de caractères avec une apostrophe dans le champ "adresse". En conséquence, le dossier se voyait attribué un numéro de client très inférieur aux numéros de client actuel. Dans des cas extrêmement rares, cela pouvait correspondre à un client qui était encore en base, car 99% des clients plus vieux d'un an sont supprimés de la base. Cela explique que M. Henno soit tombé sur les coordonnées d'un client correspondant à un dossier datant de 2002".

En tout cas, lundi 22 septembre au matin, tout semblait être rentré dans l'ordre : j'ai refait exactement la même procédure et tout s'est normalement déroulé.

(article paru sur Vnunet.fr le 22 septembre 2008)

Publié par à

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)