Attention à vos prestataires, vos informations fuitent …

 

Capture

 

Salut à tous,

 

Comme ça faisait longtemps, que je n'avais pas parlé "sécurité", je me suis dis qu'il était temps de mettre le sujet de nouveau sur la table ^^

 

Et puis, vous le savez déjà, je fais construire une maison ...

 

Aussi, l'entreprise qui s'en charge est plutôt efficace et avance vraiment très rapidement.

 

Pour ceux qui connaissent, il s'agit de "Maison Pierre".

 

Mais ... quelque chose me chagrinait un peu ces derniers temps ...

 

Maison Pierre m'avait promis un espace sur leur site Web, ou je pourrais consulter l'avancement du chantier, les paiements restants, les rendez vous, les photos de la maison, ...

 

Cet accès ce trouve ici :

http://www.maisons-pierre.com/espace-client

 

 

Mais je n'ai jamais reçus le moindre accès ... ni identifiant, ni mot de passe ...

 

En réalité j'ai vite fini par comprendre que je ne recevrai rien  ...

 

Car ... le formulaire de Maison Pierre est leur faiblesse ...

 

Il y a une faille SQL, qui permet de se connecter sur n'importe quel compte, et de connaitre les informations confidentielles des clients ... dont les miennes ...

 

Il suffit de s'y connecter avec une injection sql "bateau", accessible à n'importe quel script kiddies ...

 

Identifiant : Hacker' or 1 = 1  limit 1,1-- f

Password : nimportequoi

 

Ce que je trouve un peu inadmissible !
J'aimerais rester maître de mes informations personnelles ... et pas que n'importe qui puisse y accéder ...

 

Bref en me connectant sur mon compte par cette brèche de sécurité béante ... je me suis aperçus que quasiment rien ne fonctionnait, bien sur, il y  avait les informations visibles du client, celle des contacts chez Maison Pierre, chef de chantier, Commercial, paiement, adresse, ...

 

 

Capture

 

(ici par exemple je suis connecté sur le compte de quelqu'un ...)

 

Bref tout ça pour dire qu'il est important de savoir faire confiance à une entreprise, mais de garder un certain recule sur la confidentialité de vos données.

 

Néanmoins, ça n'est pas Maison Pierre qui est réellement en faute, en réalité c'est cette entreprise :

http://www.actweb.fr/

 

Qui gère également des grands comptes tel que Air France, Crédit Mutuel, ... Bref ... ça fait peur quand même ...

 

3 comments

Laisser une réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site est protégé par reCAPTCHA et le GooglePolitique de confidentialité etConditions d'utilisation appliquer.