Des centaines de milliers d’utilisateurs professionnels néerlandais sont les victimes potentielles de fuites de données à grande échelle auprès de dizaines de sociétés de leasing. En raison de diverses failles dans les portails de 52 firmes du genre au moins, les données personnelles, contrats et montants de leasing se sont retrouvées sur la voie publique.
Voilà ce qu’a découvert l’entreprise de sécurité IT ESET. Entre-temps, les sociétés de leasing concernées ont colmaté les brèches avec l’aide d’ESET. On ne sait pas clairement depuis combien de temps ces failles ont été abusées.
Ces énormes fuites de données ont été détectées par hasard. Pour ses propres collaborateurs, ESET recherchait un nouveau gestionnaire de son parc de voitures en leasing. Avant de s’associer à un partenaire, l’entreprise de sécurité IT a demandé à des experts d’analyser la sécurité des portails clients de quelques firmes de leasing. Il est apparu très vite qu’il était facile chez les sociétés examinées d’accéder à des informations sensibles, comme les données relatives aux voitures, mais aussi des renseignements personnels des conducteurs.
Souvent le même progiciel et le même serveur
L’accès aux données des conducteurs de voitures en leasing était dans la plupart des cas rendu possible en raison de bugs dans un même progiciel utilisé par la plupart des sociétés de leasing néerlandaises pour leur portail. Certes, ces sociétés disposaient toutes d’une version de portail personnelle, mais après examen par ESET, il est apparu qu’elles partageaient un même serveur de données. Même si chaque firme possédait sa propre base de données sur ce serveur, chaque portail s’y connectait avec le même compte. Il était ainsi possible de solliciter des données auprès de toutes les firmes de leasing connectées.
Un expert d’ESET est ainsi parvenu à solliciter sans problème les données de sa propre voiture et des informations privées, alors même que sa voiture était hébergée chez une autre firme de leasing. L’expert eut aussi aisément accès à toutes les données des clients des sociétés qui utilisaient le logiciel en question.
Responsabilité
Dave Maasland, directeur d’ESET Nederland: “Les failles ont été colmatées, et les données des clients sont de nouveau sécurisées. Les conducteurs et les firmes de leasing sont en fait les victimes de bugs dans le software utilisé et souvent acheté. Le fait est que les sociétés de leasing ont la responsabilité de proposer un portail sécurisé à leurs clients. Elles ne peuvent l’héberger chez des tiers, comme par exemple chez des fournisseurs de software.”
En collaboration avec Dutch IT-Channel.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici