Les commandes de la société certifiée de signatures électroniques Lleida.net dévoilées suite à une faille de sécurité

Il est aujourd’hui courant de réaliser des démarches administratives sur Internet comme souscrire un forfait de téléphone, souscrire une assurance auto ou signer un devis d’un prestataire, mais ce n’a pas toujours été le cas.
Il y a quelques années, ces démarches étaient purement manuscrites, car la présence physique des deux parties était nécessaire pour donner une valeur au document signé. La démocratisation d’Internet et l’évolution de la législation permettent aujourd’hui de digitaliser ces démarches en utilisant notamment des solutions de signatures électroniques.
La valeur légale de ces signatures électroniques dépend fortement des mécanismes techniques mis en place pour garantir l’identité des signataires, leur volonté réelle de signer et l’intégrité du document.
Pour évaluer la robustesse de ces mécanismes, la réglementation européenne[1] et française[2] demandent à ce que chaque pays de l’Union européenne publie une liste d’entreprises « de confiance », auditées par des organismes homologués. La France a, par exemple, homologué douze entreprises de confiance[3], qui correspondent à des organismes publics ou des sociétés privées :

Les particuliers et les entreprises souhaitant faire signer électroniquement leurs documents peuvent faire appel à ces entreprises certifiées avec l’assurance que leurs documents signés auront une forte valeur légale, proche ou égale à celle d’une signature manuscrite.
Il est aussi important de noter que les signatures électroniques proposées par les entreprises certifiées sont valables pour tous les pays de l’Union européenne.
Toutes les commandes de ClickAndSign.eu publiquement accessibles
L’entreprise « Lleida.net » fait partie des « entreprises de confiance » de l’Union européenne, et a été homologuée par l’Espagne[4]. La société édite notamment le site « ClickAndSign.eu », qui permet de signer électroniquement des documents.

Avant de pouvoir envoyer des documents à signer, les clients de « ClickAndSign.eu » doivent acheter des crédits. Lorsqu’un client passait commande et validait son paiement, il était redirigé vers la page de confirmation de commande, comme ça se fait traditionnellement :

L’adresse de cette page de confirmation était, par exemple :
https://www.clickandsign.eu/es/compra-finalizada?idoperacion=10018&resultado=1&idioma=en
La composition de cette adresse est importante. Elle contient plusieurs éléments :
- le nom du site[5] :
https://www.clickandsign.eu
- l’adresse de la page :
/es/compra-finalizada
- des paramètres associés à des valeurs :
idoperacion
avec une valeur10018
,resultado
avec la valeur1
, etidioma
avec la valeuren
.
Mes connaissances en espagnol sont extrêmement limitées, mais on peut aisément comprendre que le nom de page compra-finalizada
correspond à la page de confirmation de la commande et que le paramètre idoperacion
fait référence au numéro de cette commande[6].
Cette adresse, comme toutes les adresses sur Internet, peut être modifiée librement par l’internaute, qui peut saisir ce qu’il souhaite dans la barre d’adresse de son moteur de recherche. Il peut, par exemple, changer la référence de la commande et saisir un autre numéro de commande. Normalement, les pages contenant des informations personnelles sont protégées par un mécanisme d’authentification. Ce n’était pas le cas ici. Les autres pages de confirmation de commande étaient accessibles simplement en précisant le numéro de la commande, qui était un simple nombre incrémental entre 100 et 10018.
Au total, ce sont pas loin de 10 000 commandes qui étaient publiquement accessibles, datant de 2014 à 2020.
Chaque commande contenait :
- le numéro de la commande ;
- Le nom d’utilisateur de l’acheteur ;
- La date et l’heure de la commande ;
- Le moyen de paiement utilisé ;
- Le montant de la commande ;
- Le nombre de crédits achetés.
Les commandes ne contiennent certes pas le nom formel de la personne, mais beaucoup de noms d’utilisateur ne laissent aucun doute sur leur identité réelle.
Lleida.net alertée, corrige la faille
L’éditeur du site « ClickAndSign.eu », « Lleida.net », a été alerté et a corrigé la faille quatre jours après mon signalement. Pour des raisons évidentes de confidentialité, je n’ai pas rendu public les données issues de cette faille. D’autres personnes avant moi ont cependant pu détecter cette faille, récupérer l’ensemble de ces données, et les vendre au plus offrant.
Suite à mon signalement, j’ai demandé à la société si elle allait rendre public cet incident. Ils m’ont répondu que le dossier allait être étudié avec leurs conseillers juridiques. À ma connaissance, aucun communiqué public n’a été émis à ce jour, un an après les faits. Les clients, dont je fais partie, n’ont pas été informés. La société étant une société publique côtée en bourse[7], les actionnaires auraient peut-être également pu ou dû être informés.
Lleida n’est pas un cas isolé
La société « Lleida.net » n’est pas la première à inclure des données personnelles dans des pages accessibles publiquement. La CNIL a déjà alerté et sanctionné la société Carrefour[8], en novembre 2020, pour des faits similaires :
« Lors d’un achat sur le site carrefour.fr, une facture est mise à disposition du client sur son espace personnel […]. Cette facture est accessible par une adresse URL fixe. Toute personne disposant de cette adresse peut accéder à la facture émise sans qu’il soit nécessaire de s’authentifier et de se connecter à son espace client. »
L’ANSSI a également alerté, dès 2013, sur les risques à dissimuler des informations derrières des adresses potentiellement secrètes :
« Il faut par ailleurs être prudent à la prévisibilité des URL. Certains sites reposent sur le postulat qu’un attaquant ne pourra pas deviner une autre URL que celle de la page d’accueil et sera limité aux liens dont il aurait pu avoir connaissance. Cette hypothèse est déjà très discutable dans le cas d’URL composées de plusieurs dizaines de caractères parfaitement aléatoires […]. Elle devient radicalement fausse lorsque la construction des URL suit une certaine logique. Ainsi, il est probable qu’un attaquant voyant une URL de la forme http://www.example.org/doc?id=42 tentera de donner à id la valeur 41 ou 43 etc. »
On ne peut pas publier des informations personnelles ou confidentielles sans protection sur Internet en espérant que personne ne les trouvera, surtout pour entreprise auditée et certifiée. Espérons que leur système de signatures électroniques soit plus sécurisé que leur site Internet.
Note : la société Lleida.net a été informée avant la publication de cet article que les détails de l’incident allaient être révélés.
MAJ du 24/03/2021 à 16:00 : la société Lleida m’a indiqué que les clients n’ont pas été informés, car « les mesures techniques et organisationnelles ont été prises immédiatement après mon signalement », « conformément à l’article 34 du RGPD ».
Notes et références
- ↑Le règlement européen n° 910/2014 du 23 juillet 2014 appelé eIDAS (Electronic IDentification Authentication and trust Services traduit par Identification électronique et les services de confiance pour les transactions électroniques) encadre les pratiques de la signature électronique.
- ↑La loi française n° 2000-230 du 13 mars 2000 encadre les pratiques de la signature électronique.
- ↑Liste des entreprises de confiance homologuées par la France.
- ↑L’entreprise espagnole LLEIDA NETWORKS fait partie des entreprises de confiance de l’Union européenne (source : Commission européenne).
- ↑Pour être précis, dans l’adresse
https://www.clickandsign.eu
:https
correspond au protocole utilisé,www
au nom du sous-domaine, etclickandsign.eu
au nom de domaine. - ↑Il est courant, en informatique, de nommer identifiant, ou id, un numéro ou une série de caractères qui permet d’identifier de façon unique une information, notamment dans une base de données. Le paramètre
idoperacion
est en réalité l’id
de l’operacion
, c’est-à-dire l’identifiant de la transaction. - ↑La société Lleida.net est côtée sur les marchés sous le nom Lleida Networks (BME:LLN) (EPA:ALLLN) (OTCQX:LLEIF).
- ↑La CNIL a sanctionné le groupe Carrefour en novembre 2020 pour de nombreux manquements relatifs au RGPD. Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».