Les données de plus de 3.000 demandeurs d’une ‘autorisation de circuler’ durant le dimanche sans voiture étaient restées quelques heures, voire quelques jours sans protection sur le net. Il s’agissait de noms, de numéros de téléphone et de plaques minéralogiques. La base de données a entre-temps été mise hors ligne.
Dimanche prochain, le centre de la ville d’Anvers ne sera pas accessible aux voitures, mais les citoyens, qui souhaitent néanmoins entrer en ville en voiture (comme les docteurs par exemple), pouvaient solliciter une dérogation au moyen d’un formulaire. Or les données de toutes ces autorisations se sont retrouvées quelques heures, voire quelques jours, sans protection sur le net. Il était ainsi possible d’accéder aux noms, numéros de téléphone et plaques d’immatriculation de quelque 3.000 demandeurs.
La faille a été découverte par Hans Maes, informaticien et propriétaire de Bitnet.be. “Je suis tombé dessus par hasard”, explique-t-il à Data News. “J’en ai entre-temps informé le service IT de la ville, qui a mis les formulaires hors ligne.”
Cela se passait comme suit: quiconque souhaitait rouler en voiture dans le centre d’Anvers, pouvait en faire la demande au moyen d’un formulaire en ligne. “Il fallait y entrer votre adresse mail, votre numéro de plaque, votre numéro de téléphone et quelques autres renseignements”, explique Maes. Si la demande était approuvée, le sollicitant recevait un lien vers un PDF en ligne contenant son autorisation de circuler (voucher).
Le lien en question était un site http non sécurisé, sur lequel chaque voucher se voyait attribuer un ID, à savoir un numéro de 4 chiffres. En changeant le numéro terminal de l’URL, on aboutissait au voucher suivant. Par simple manipulation, il était alors possible de collecter les données personnelles d’un peu plus de 3.000 demandeurs. “Ce code ID unique était un peu trop simple”, prétend Maes. “Il suivait une forme ascendante. Il débutait à 5.000 et se poursuivait jusqu’à un peu plus de 8.000.”
Le code des formulaires semble quoi qu’il en soi assez maladroit. Pour chaque demande introduite, un PDF avec un voucher était par exemple automatiquement créé. La personne qui avait introduit une demande non agréée, ne recevait pas le lien, mais le voucher, lui, existait bel et bien. “Il était donc possible d’entrer n’importe quoi”, ajoute Maes. “Il ne fallait même pas attendre le mail de la ville, mais simplement rechercher dans la base de données la dernière entrée pour trouver un nouveau voucher. La procédure n’a pas été bien testée.”
Chez Stad Antwerpen, les formulaires ont entre-temps été mis hors ligne. “Nous en avons été informés ce matin. Nous sommes actuellement en train de mener une enquête”, déclare Dirk Delachambre, porte-parole de l’administration communale d’Anvers. “Nous n’en avons pas encore fini, mais nous soupçonnons qu’il s’agit d’un piratage. L’année dernière, nous avions utilisé le même système, sans le moindre problème.” On ne sait pas clairement combien de temps ces données se sont retrouvées en ligne, mais il semble que ce soit quelques heures. Mercredi soir à 21 heures, Data News a réussi en tout cas à télécharger quelques vouchers, qui se trouvaient encore en ligne douze heures plus tard.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici