Un problème de sécurité dans Mypension.be donne accès à Tax-On-Web
Soyez attentif, lorsque vous vous inscrivez auprès des services publics fédéraux sur un ordinateur partagé ou public. Data News a pu observer que même après s’être désinscrits, des utilisateurs ont eu accès à divers services, dont Tax-On-Web.
Ce problème a été signalé à notre rédaction par un lecteur, mais il s’est reproduit par la suite. Lors de l’utilisation de Mypension.be, le bouton de désinscription ne fonctionne pas. En tant qu’utilisateur, vous recevez cependant une confirmation. Mais quiconque surfe ensuite vers d’autres services publics comme Student At Work, Mysocialsecurity.be, Myminfin.be ou Tax-On-Web, s’y trouve de nouveau connecté sans le moindre contrôle.
Suite à ce problème, notre rédaction a pris contact avec le Service Fédéral des Pensions, qui en avait été entre-temps informé. “Une solution technique est en préparation et sera déployée aussitôt qu’elle aura été validée. La sécurité est en effet essentielle pour nos utilisateurs.” La solution sera déployée dans le courant de la semaine.
Risque limité
Comme solution intermédiaire, le service des Pensions suggère de fermer le navigateur (donc pas uniquement l’onglet). Mais le risque que quelqu’un d’autre que la personne concernée ait accès à cette session, est relativement limité, selon le service.
Il y a surtout un risque pour quiconque travaille sur un PC public ou partagé avec des applications publiques. C’est ainsi qu’un collègue par exemple pourrait découvrir votre déclaration d’impôts.
Marc Vael, spécialiste en sécurité (ISACA Belgium), considère le problème de la désinscription de deux manières. “Il n’est évidemment pas logique qu’après le désinscription, l’on ne soit pas vraiment désinscrit. Mais un piratage de l’extérieur n’est pas non plus possible. Il n’existe qu’un risque interne, si vous ne fermez pas entièrement le navigateur.” Il qualifie toutefois cette situation d’intéressante: “Ce type d’incident démontre que les services publics sont complexes et qu’il convient donc de procéder à des tests en long et en large, également au niveau d’une sortie de session.” Il se dit également ravi que le problème ait été révélé. “L’on ne peut jamais tout prévoir. Heureusement donc que quelqu’un l’ait découvert.”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici