Partager

Selon vpnMentor, start-up israélienne spécialisée dans les VPN (1), le groupe de cosmétique a particulièrement été touché par des vulnérabilités chez son prestataire Aliznet avec un pack de données de 2,5 millions de clients exposé dont la majorité est basée au canada.

Deux chercheurs de vpnMentor, Noam Rotem et Ran Locar, recensent différentes vulnérabilités : une API (2) mal intégrée dans une application réalisée par Aliznet pour Yves Rocher, un serveur Elasticsearch mal sécurisé. Sur ce dernier, la firme de sécurité a accédé à plusieurs parties de la base de données d’Aliznet, comprenant les noms, prénoms, numéro de téléphone, adresse mail, date de naissance, code postal,… La base renseigne aussi sur le « FID Number », que certains pays assignent pour les envois internationaux et les taxes.

Dans la même veine, les deux chercheurs ont découvert dans cette même base, l’enregistrement de 6 millions de commandes clients. Montant, type de monnaie utilisée, date de livraison, localisation du magasin, le nom et l’identifiant du salarié qui s’est occupé de la commande, ainsi que le numéro client, sont des informations disponibles. Et ce n’est pas fini, des données internes à Yves Rocher ont été exposées comme des statistiques sur le trafic au sein des boutiques, le turn over, le niveau des commandes, sans parler de la description et les ingrédients de 40 000 produits, les prix et les codes de promotion. Du pain béni, si un concurrent tombait sur cet ensemble de données.

Aliznet, interrogé par nos confrères de BFM TV, a expliqué qu’« un événement était organisé chez Yves Rocher il y a quelques jours. Pour l’occasion, on a ouvert un serveur d’intégration pour procéder à des tests, qui n’était pas assez protégé ». Depuis les révélations de la start-up israélienne, les failles ont été colmatées.

La société française Aliznet est consultante auprès des groupes de la distribution et comprend comme client IBM, Salesforce, Sephora, Louboutin, Inwi (un opérateur marocain) et Yves Rocher.

Source : Le Monde Informatique

(1) VPN. En informatique, un réseau privé virtuel, abrégé VPN – Virtual Private Network, est un système permettant de créer un lien direct entre des ordinateurs distants, qui isole leurs échanges du reste du trafic se déroulant sur des réseaux de télécommunication.

(2) API. En informatique, une interface de programmation d’application ou interface de programmation applicative est un ensemble normalisé de classes, de méthodes, de fonctions et de constantes qui sert de façade par laquelle un logiciel offre des services à d’autres logiciels.

Partager