Si vous avez acheté récemment un forfait de ski en ligne, vous avez certainement fourni des informations personnelles vous concernant. Ces données n’ont cependant pas bénéficié de la protection que l’on pouvait escompter. « Près de 400.000 factures et 800.000 mails de skieurs » ont ainsi été accessibles en ligne pendant plusieurs semaines, explique BFMTV qui a révélé l’affaire. Une faille de sécurité qui a donc exposé les données de centaines de milliers de skieurs. En cause ? Un prestataire chargé de la vente en ligne de plusieurs stations, dont des grands noms de l’industrie du ski. Val Thorens, Chamonix ou encore Megève auraient été concernés. La faille a été corrigée par le prestataire, JB Concept, qui assure que les données personnelles des skieurs sont désormais bien à l’abri.
Lire aussi : La tarification dynamique, l’avenir du forfait de ski ?
Une faille de sécurité touchant les skieurs, découverte par un gentil hacker
C’est un hacker, directeur technique de Station F, qui s’est aperçu du problème lors de son dernier séjour au ski, dans la station de Chamrousse (Isère). Après avoir réglé son forfait, il consulte sa facture en ligne et se rend compte que l’accès à cette dernière semble libre. Pire, il découvre que les numéros de factures et les numéros de clients sont inclus dans l’url (l’adresse web) de la facture. Il suffit de changer un chiffre pour avoir accès à la facture d’un autre client, puis d’un autre… Sauf que ce document comptable contient les coordonnées précises du client, mais aussi sa date de naissance. Des données supposées rester strictement confidentielles.
Le prestataire affirme qu’aucun tiers n’a dérobé de données. Et que le problème a été corrigé début 2020, bien avant que l’affaire ne soit révélée. La CNIL, gendarme français de la protection des données, n’a pas été alerté.
Illustrations © DR