Des chercheurs de VPNMentor ont levé le voile sur une importante brèche informatique dénichée au sein de l’application Genius, éditée par La Poste. Mais le directeur de la cybersécurité du groupe français tempère cette vulnérabilité et s’interroge sur les méthodes utilisées par le comparateur de Virtual Private Network.

Chapeautée par Noam Rotem et Ran Locar, l’équipe de chercheurs de VPNMentor a partagé dans un billet de blog leurs récentes trouvailles quelque peu compromettantes pour le groupe La Poste. Genius, une application éditée par cette dernière, a en effet été victime d’une brèche informatique menant à 15 Go d’informations, comprenant 23 millions d’enregistrements issus de PME françaises, belges, suisses, italiennes et espagnoles.

Utilisée par les commerçants de proximité, Genius est une application de caisse enregistreuse connectée disponible sur tablette Android, qui permet notamment de gérer des stocks, statistiques, soldes et autres programmes de fidélité. Découverte le 11 novembre 2019, la faille a été signalée à La Poste deux jours plus tard, puis à la Commission nationale de l’informatique et des libertés (CNIL) le 18 novembre.

De nombreuses données sensibles

Corrigée le 8 décembre, l’anomalie a tout de même donné accès durant un mois à une kyrielle de données sensibles liées aux finances et opérations d’une firme : SIRET, ville de résidence de l’entreprise, produits vendus (étiquette, prix, code-barre), transactions effectuées, factures envoyées aux clients et aux fournisseurs, inventaires, valeur totale des transactions commerciales.

Le nom, l’adresse email, le numéro de téléphone et la date de naissance de l’utilisateur faisaient également partie du lot. VPNMentor n’hésite d’ailleurs pas à citer, pêle-mêle, quelques exemples de sociétés touchées par cet incident, comme les magasins de bijoux Nilaï et By164, sis à Paris, le restaurant MHD Restauration, la boutique de cadeaux Louisette ou encore Lovat&Green, un marchand de vêtements basé à Bilbao, en Espagne.

Le directeur de la cybersécurité de La Poste remet en cause la quantité de données exposée. // Crédit photo : Charles via Unsplash.

Sur le papier, le travail de VPNMentor semble net, propre et précis. Mais le directeur de la cybersécurité de La Poste, en la personne de Gabriel de Brosses, s’interroge dans les colonnes de ZDNet sur les méthodes employées par les chercheurs au cours de leur enquête. Et l’intéressé de tempérer dans un premier temps le nombre de données exposées.

« Quinze Go de données et 23 millions d’entrées, cela nous paraît un peu surprenant pour une application qui compte 900 clients », débute-t-il. M. de Brosses précise également qu’aucune exfiltration des informations vulnérables n’a été constatée par ses équipes. « Nous sommes encore en train d’analyser les données exposées, mais il s’agit pour l’essentiel de logs techniques. On évalue de notre côté le nombre de données personnelles exposées à 12 500 », distille-t-il.

Un curieux mail

Quant au message de prévention envoyé par VPNMentor, Gabriel de Brosses exprime un certain étonnement au regard de son contenu : « Effectivement, on a bien reçu un mail de leur part le 13 novembre. Simplement, il s’agissait d’un mail en anglais, de quatre lignes, particulièrement évasif et envoyé sur une adresse générique de la poste », continue-t-il pour ZDNet.

Et de poursuivre : « Je suis assez surpris que des chercheurs qui se définissent comme ‘hackers éthiques’ n’aient pas eu le réflexe de communiquer leurs informations auprès du CERT La Poste, dont le contact est pourtant assez facile à trouver. Mon sentiment, c’est plutôt qu’ils nous ont alertés d’une façon suffisamment discrète pour pouvoir l’écrire dans leur post de blog », finit-il par lâcher en guise de contre-attaque.

VPNMentor, des méthodes remises en question. // Crédit photo : Petter Lagson via Unsplash.

Le CERT, pour « Computer Emergency Response Team », correspond à une équipe d’intervention dédiée aux urgences informatiques justement prévue à cet effet. Ici, l’interrogation de Gabriel de Brosses semble donc légitime. D’autant plus que le site web du CERT La Poste apparaît bien comme le premier résultat de recherche Google en tapant les mots clés adéquats.

Qu’une entreprise admette son erreur et la corrige dans la foulée est aujourd’hui monnaie courante dans le milieu cyber. Mais qu’un représentant sorte de son silence pour remettre en cause le processus de travail utilisé par des chercheurs est un fait plus rare. Une opposition de point de vue où chacun souhaite logiquement avoir le dernier mot, qui se résulte finalement, et heureusement, par la correction de l’anomalie informatique.

Crédit photo de la une : Tanner Boriack via Unsplash.

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux