[InfoGreffe.fr] – L’information « gratuite » sur les sociétés

Bon début de journée à tous,

 

Aujourd'hui j'ai décidé de vous parler d'un sujet qui me touche.
J'ai pris la décision de quitter une boite que j'ai construite avec quelques associés il y a quelques années.
Comme souvent dans ce genre de "divorce", soit on quitte, soit on est quitté ...
Vous imaginez bien que les choses peuvent parfois mal tourner.

C'est généralement dans ce genre de situation qu'on s'accroche aux meubles et qu'on attend que la tempête se calme.

Afin de vérifier que certaines formalités administratives avaient été faites ... et surtout pour éviter tout malentendu, j'ai consulté certains documents administratifs sur le site infogreffe.fr

 

Un facture qui fait mal 

A titre d'exemple, pour un simple compte rendu d'assemblée extraordinaire c'est 11.99 € ...
Alors bon, on peut se dire que le prix n'est pas très élevé, mais pour stocker un pdf ... je trouve ça, très légèrement exagéré ...

J'ai quand même acheté le / les document(s) dont j'avais besoin.
Puis je me suis dit ... comme souvent ... "soyons fous" !

Ni une, ni deux, j'inspecte le code source des divers scripts du site ...
J'examine les requêtes qui sont faites ...

Puis je trouve enfin le "Graal" !

 

Un accès "Open Bar" à toutes les commandes des clients du site Infogreffe.fr

 

Dans mon interface utilisateur,  j'ai la possibilité de télécharger / visualiser mes documents au format pdf ...

Lorsque je clique sur "visualiser" ...
Une fenêtre (un popup) s'ouvre, et me laisse voir très rapidement une redirection ...

 

On remarque un base64 dans l'url, qui une fois décodé, ne correspond que partiellement au numéro de commande ...

J'ai donc recherché par quel moyen me procurer ce base64 ...
Et j'ai fini par trouver le sésame :

https://www.infogreffe.fr/services/commandevisiteur/rest/visiteur/recapCommande?numeroCommande=xxxxxxxxx

Ci-dessus, l'url vous retournera les informations (en remplaçant le xxxxxxxxx par un numéro de commande ... pour ça c'est facile, vous pouvez tester en remplaçant par des chiffres et en incrémentant : ..., 210064845210064846,210064847, ...)

 

Dès que vous avez récupéré le base64

 

 

Vous pourrez ensuite accéder via L’URL suivante :

https://www.infogreffe.fr/services/commandevisiteur/rest/visiteur/visupdf?numeroCommande=xxxxxxxxxxxx&ligneCommande=1&visualisation=true

(En remplaçant xxxxxxxxxxxx par le base64 que nous avons récupéré auparavant)

 

 

 

Et voilà !

 

Conclusion

Au travers de cet article, vous aurez découvert qu'il est possible de consulter gratuitement sur infogreffe.fr les documents achetés par des clients...
Cependant, la vulnérabilité est malheureusement plus grave, car elle permet également d'accéder aux coordonnées des clients du site, à leurs factures, ....

 

 

Partagez ce contenu

2 comments

  • Bonjour a toi!

    J’ai décidé de t’écrire aujourd’hui car je me suis rendu compte que cela faisait quelques temps que je te suis et que j’apprécie énormément ce que tu fais.

    J’espère que tu as de bon retour sur tes articles car ils le méritent.

    Bon courage a toi pour la suite ainsi que tes soucis avec ta boite.

     

    Un viewer de l’ombre

  • Bonjour,

     

    Je ne comprends pas comment trouver la base64 ou plutôt le numéro de commande du client ?

     

    Merci d’avance pour ta réponse

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *