Genius, application de caisse connectée lancée par le groupe La Poste en 2017, a laissé en libre accès une base de données contenant plus de 23 millions de logs d’entreprises européennes, l’israélien VpnMentor a mis fin à cette misère.
En mai 2017, le groupe La Poste lance l’application Genius Caisse Connectée, une solution de caisse sécurisée sur Androïd qui permet aux commerçants et professionnels de proximité d’optimiser la gestion de leur point de vente à travers différentes fonctionnalités: encaissement des ventes, édition des des tickets de caisse, rapprochements comptables au format numérique ou création de catalogues de produits en ligne. Les entreprises peuvent utiliser une version gratuite de l’application, ainsi qu’une version premium qui propose la création de fiches clients, l’historique d’achat par client, le suivi des stocks, la réalisation d’inventaires, la personnalisation de tickets de caisse ou l’accès à des statistiques sur le suivi de l’activité. A l’époque, des solutions similaires telles que Sellsy, Popina, L’Addition ou ShopCaisse existent déjà depuis plusieurs années. Aujourd’hui, près de 900 entreprises utilisent Genius Caisse Connectée, principalement des PME qui évoluent dans les secteurs de la maison, la mode, la bijouterie ou la restauration.
Une « énorme » brèche de sécurité des données
Mais en novembre dernier, VpnMentor, firme de sécurité informatique israélienne, découvre une fuite sur une base de données appartenant à Genius. « Avec plus de 23 millions enregistrements, il s’agit d’une énorme brèche de sécurité des données, et les utilisateurs de Genius dans toute la France sont désormais vulnérables », affirme l’entreprise, qui a aussi récemment découvert une vaste fuite de données du côté de Gekko Group, plateforme professionnelle de réservation d’hôtels appartenant au géant hôtelier Accor, ainsi que la présence sur un cloud non protégé de données personnelles de la quasi-totalité de la population équatorienne.
Selon VpnMentor, plus de 15 Go d’informations sensibles ont été exposés. Les saisies de la base de données sont liées à des paiements faits par des clients via Genius, ainsi qu’à d’autres fonctions de l’application, d’après la société. « Chaque entrée contenait différentes formes de données, selon les actions effectuées par l’utilisateur. Elles contenaient aussi des Informations personnellement identifiables (IPI) des utilisateurs de Genius et de leurs clients, ainsi que des informations sensibles sur les finances et les opérations de l’entreprise ». (Rapport complet)
Des hackers auraient ainsi potentiellement pu avoir accès non seulement aux noms, adresses, numéros de téléphone, dates de naissances, villes de résidence et codes postaux des utilisateurs de Genius, mais aussi aux informations relatives aux produits vendus, les transactions effectuées, informations personnelles des vendeurs, factures, inventaires, entrées tests et réelles, adresses mails des clients des entreprises, valeurs totales des transactions commerciales ou encore aux numéros Siret des clients de Genius.
VpnMentor découvre l’exposition de données le 11 novembre puis envoie un email au groupe La Poste deux jours plus tard en guise d’alerte. Quelques jours plus tard, VpnMentor contacte l’entreprise d’hébergement de La Poste et la Commission nationale de l’informatique et des libertés (Cnil). L’exposition de données est fermée le 8 décembre.
La Poste effectue « un tour d’horizon de ce qui serait potentiellement exposé » dans le périmètre de Genius
Dans les conditions générales d’utilisation de Genius, La Poste s’est engagée à « mettre en œuvre les mesures nécessaires afin de protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte accidentelle, une altération, une divulgation ou un accès non autorisé ». Mais « nous n’avions pas identifié le défaut de paramétrage de l’application », indique à FrenchWeb Gabriel de Brosses, directeur de la cybersécurité du groupe La Poste. Il assure qu’« il n’y a pas eu d’exploitation de cette faille (…). Ce qu’on a identifié, c’est un problème de paramétrage d’une application qui a été mise à jour ». La vulnérabilité se trouvait sur un outil de visualisation du suivi du fonctionnement de l’application Genius. « Le chiffre de 23 millions de données, ce ne sont pas des données personnelles, ce ne sont pas des données d’entreprise ; 99% de ces données sont des données de connexion, (…) le volume est beaucoup moins considérable », souligne Gabriel de Brosses. Toujours est-il qu »’en utilisant les IPI, et les données commerciales et financières, des criminels pourraient créer des campagnes de phishing efficaces », rappelle VpnMentor.
Après la découverte de cette vulnérabilité, La Poste a vérifié les paramétrages de l’application, rendu les données inaccessibles, et notifié la Cnil dans les 24 heures. Quant aux clients, 100 à 108 fiches demandent une notification particulière, selon Gabriel de Brosses, elles sont traitées au cas par cas par le service client qui exploite Genius.
Pour VpnMentor, « une fuite de cette nature soulèvera des questions sur les pratiques de sécurité en matière de données de La Poste, et pas seulement pour Genius, mais pour l’ensemble de ses opérations et de son réseau d’entreprises ». M. De Brosses nous indique que le groupe effectue « un tour d’horizon de ce qui serait potentiellement exposé » dans le périmètre de Genius ou « utilisant des technologies comparables ». La Poste n’a toutefois pas donné d’indication sur d’éventuelles opérations de contrôle et sécurité sur les bases de données des cinq branches d’activité du groupe (GeoPost, réseau La Poste, service Courrier Colis, La Banque Postale et Branche Numérique).
Aujourd’hui, La Poste affirme ne pas avoir connaissance d’une éventuelle sanction à la suite de cet incident. L’exposition de ces données est en cours d’instruction à la Cnil.