Accueil Cybersécurité Exposition des données de Genius édité par La Poste : les réponses...

Exposition des données de Genius édité par La Poste : les réponses de Gabriel de Brosses, directeur de la cybersécurité de La Poste, à Solutions Numériques

Gabriel de Brosses
Gabriel de Brosses, directeur de la cybersécurité de La Poste

Gabriel de Brosses, directeur de la cybersécurité de La Poste, apporte à Solutions Numériques des précisions sur l’exposition des données de l’application Genius que vpnMentor, comparateur de VPN, a dévoilé mercredi 11 décembre. Les informations exposées via cette solution de caisse enregistreuse développée par La Poste sont pour la plupart des données techniques de connexion et le risque d’accès frauduleux n’est pas jugé élevé, tempère le responsable. 

 

23 millions de données exposées ?

-> Ce que dit vpnMentor
vpnMentor décrit dans son rapport une base de données ouverte avec “23 millions d’entrées qui comprenait notamment les données personnelles des utilisateurs de l’application (nom complet, adresse mail, numéro de téléphone…), des informations en lien avec leurs entreprises (inventaire, informations produits, transactions …) et les adresses mails de leurs clients. »

-> Ce que réplique Gabriel de Brosses
Les 23 millions de données ne sont dans leur très grande majorité ni des données d’entreprises ni des données personnelles.
Ce sont essentiellement des données techniques de connexion (logs, journaux de connexions), qui permettent de faire circuler l’information »
.

L’origine de l’exposition des données 

-> Ce que dit vpnMentor
vpnMentor indique avoir pu accéder via un navigateur Internet à cette base de données utilisée par La Poste « parce qu’elle était complètement ouverte, non sécurisée et non cryptée ».

-> Ce qu’explique Gabriel de Brosses
C’est un défaut de paramétrage sur un des composants de l’application Genius. Au moment d’une montée de version, fin octobre, le paramètre de sécurité n’a pas été rétabli dans la position qui convenait, ce qui a produit cette exposition de données. » 

 

Quelles données exactes accessibles ?

-> Ce que dit vpnMentor
Les noms complets, les adresses mail, les numéros de téléphone, les dates de naissance des utilisateurs de l’appli;
La ville de résidence de l’entreprise et les codes postaux des utilisateurs;
Des informations sur les produits vendus (étiquette, prix, code barre, etc) et les transactions faites via Genius;
Des informations sur les vendeurs (nom, email, numéro de téléphone);
Les factures envoyées aux clients et aux fournisseurs;
L’inventaire de l’entreprise utilisant Genius;
Des entrées test et réelles de produits;
Les adresses mails des clients ayant reçu une facture via Genius;
La valeur totale des transactions commerciales faites par une entreprise via Genius;
Le numéro de Siret des entreprises;

-> Ce que précise Gabriel de Brosses
Seules quelques données courantes de clients – nom, prénom, adresse, et n° de téléphone lorsque ceux-ci étaient renseignés – ont pu être partiellement accessibles. Aucune information bancaire ne l’était. 
Par ailleurs, les données exposées ne sont pas structurées. Vous n’avez pas de fiche avec l’intégralité des informations sur un client. Et les données sont anonymisées. Pour un chiffre comptable, par exemple, on ne sait pas nécessairement à qui il appartient. vpnMentor en fait un événement cyber terrible, ce que je conteste.
Une fenêtre peut être ouverte, pour autant vous n’êtes pas forcément cambriolé. Nous n’avons pas détecté d’accès frauduleux aux données, à ce stade. »

-> Ce que dit vpnMentor
Genius est utilisée par des PME en France, ainsi que dans d’autres pays européens comme la Belgique, la Suisse, l’Italie et l’Espagne. Cela signifie donc que la base de données contient des enregistrements touchant des tas d’industries différentes au sein de chacun de ces pays. »

-> Ce que précise Gabriel de Brosses

Nous avons 900 clients, et essentiellement des TPE. La solution Genius n’est commercialisée qu’en France. Avec les clients et leurs clients, on parle au maximum de 95 000 personnes.
vpnMentor extrapole en ayant trouvé éventuellement les noms de fournisseurs de certains des clients, pris pour des clients italiens, belges, suisses ou espagnols. »

 

Le déroulé des événements

-> Ce que dit vpnMentor
vpnMentor indique avoir fait la découverte de ces données le 11 novembre dernier, avoir ensuite contacté La Poste le 13 novembre, leur entreprise d’hébergement et la Commission nationale de l’informatique et des libertés. Le site indique que la base de données a été fermée près de 3 semaines après leur premier contact avec la Cnil, soit le 8 décembre dernier. 

-> Ce que détaille Gabriel de Brosses
vpnMentor nous a contactés le 13 novembre, avec une “remarquable discrétion”. Il a envoyé un unique mail de 4 lignes en anglais, qui ressemblait beaucoup à du spam, à des personnes dont le métier n’est pas la cybersécurité ni même l’informatique via des adresses mails.

Il est malheureux qu’il n’ait pas contacté le centre de réponses des incidents du groupe, le CERT de La Poste, dont on trouve les coordonnées en 3 ou 4 clics via Google. Il lui aurait fournit une réponse immédiate.

La Poste s’est aperçue de l’exposition des données via une notification de la Cnil le 6 décembre. La situation a été corrigée dans la demi-heure et l’exposition des données a cessé.

Nous avons évalué la situation pour voir si le risque était élevé et avéré. En réponse à la notification de la Cnil, et sur les éléments dont nous disposions à ce moment-là, et pour les deux parties, il n’a pas été jugé que le risque était élevé. Au moment où je parle, ce risque élevé ne semble toujours pas constitué. »