Il est aujourd'hui courant de réaliser des démarches administratives sur Internet comme souscrire un forfait de téléphone, souscrire une assurance auto ou signer un devis d'un prestataire, mais ce n'a pas toujours été le cas.

Il y a quelques années, ces démarches étaient purement manuscrites, car la présence physique des deux parties était nécessaire pour donner une valeur au document signé. La démocratisation d'Internet et l'évolution de la législation permettent aujourd'hui de digitaliser ces démarches en utilisant notamment des solutions de signatures électroniques.

La valeur légale de ces signatures électroniques dépend fortement des mécanismes techniques mis en place pour garantir l'identité des signataires, leur volonté réelle de signer et l'intégrité du document.

Pour évaluer la robustesse de ces mécanismes, la règlementation européenne1 et française2 demandent à ce que chaque pays de l'Union Européenne publie une liste d'entreprises « de confiance », auditées par des organismes homologués.

La France a, par exemple, homologué douze entreprises de confiance3, qui correspondent à des organismes publics ou des sociétés privées :

« Trusted List France » contient « La Poste », le « Ministère de l'Intérieur » et d'autres
Liste des entreprises de confiance homologuées par la France. Source : europa.eu

Les particuliers et les entreprises souhaitant faire signer électroniquement leurs documents peuvent faire appel à ces entreprises certifiées avec l'assurance que leurs documents signés auront une forte valeur légale, proche ou égale à celle d'une signature manuscrite.

Il est aussi important de noter que les signatures électroniques proposées par les entretrises certifiées sont valables pour tous les pays de l'Union Européenne.

Toutes les commandes de ClickAndSign.eu publiquement accessibles

L'entreprise Lleida.net est une entreprise de confiance de l'Union Européenne, qui a été homologuée par l'Espagne4, et qui propose sur son site ClickAndSign.eu la possibilité de faire signer électroniquement des documents.

Copie d'écran du site Click&Sign avec le slogan « La signature électronique simple »
Site Internet ClickAndSign.eu édité par la société Lleida.net

Avant de pouvoir envoyer des documents à signer, les clients de ClickAndSign.eu doivent acheter des crédits.

Lorsqu'un client passait commande et validait son paiement, il était redirigé vers la page de confirmation de commande, comme ça se fait traditionnellement :

Copie d'écran d'une confirmation de commande du site Click&Sign avec le numéro de l'opération, le nom d'utilisation, la date de la commande, et le montant
Exemple d'une page de confirmation de commande du site ClickAndSign.eu. Le nom du client a été anonymisé par nos soins.

L'adresse, ou URL, de cette page de confirmation était, par exemple :

https://www.clickandsign.eu/es/compra-finalizada?idoperacion=10018&resultado=1&idioma=en

La composition de cette adresse est importante. Elle contient plusieurs éléments :

  • le nom du site5 : https://www.clickandsign.eu
  • l'adresse de la page : /es/compra-finalizada
  • et des paramètres associés à des valeurs : idoperacion avec une valeur 10018, resultado avec la valeur 1, et idioma avec la valeur en.

Mes connaissances en espagnol sont extrêmement limitées, mais on peut aisément comprendre que le nom de page compra-finalizada correspond à la page de confirmation de la commande et que le paramètre idoperacion fait référence au numéro de cette commande6.

Cette adresse, comme toutes les adresses sur Internet, peut être modifiée librement par l'internaute, qui peut saisir ce qu'il souhaite dans la barre d'adresse de son moteur de recherche. Il peut, par exemple, changer la référence de la commande et saisir un autre numéro de commande.

Normalement, les pages contenant des informations personnelles sont protégées par un mécanisme d'authentification. Ce n'était pas le cas ici. Les autres pages de confirmation de commande étaient accessibles simplement en précisant le numéro de la commande, qui était un simple nombre incrémental entre 100 et 10018.

Au total, ce sont pas loin de 10 000 commandes qui étaient publiquement accessibles, datant de 2014 à 2020.

Chaque commande contenait :

  • le numéro de la commande ;
  • Le nom d'utilisateur de l'acheteur ;
  • La date et l'heure de la commande ;
  • Le moyen de paiement utilisé ;
  • Le montant de la commande ;
  • Le nombre de crédits achetés.

Les commandes ne contiennent certes pas le nom formel de la personne, mais beaucoup de noms d'utilisateur ne laissent aucun doute sur leur identité réelle.

Lleida.net alertée, corrige la faille

L'éditeur du site ClickAndSign.eu, Lleida.net, a été alerté et a corrigé la faille quatre jours après mon signalement.

Pour des raisons évidentes de confidentialité, je n'ai pas rendu public les données issues de cette faille. D'autres personnes avant moi ont cependant pu détecter cette faille, récupérer l'ensemble de ces données, et les vendre au plus offrant.

Suite à mon signalement, j'ai demandé à la société Lleida si elle allait rendre public cet incident. Ils m'ont répondu que le dossier allait être étudié avec leurs conseillers juridiques.

À ma connaissance, aucun communiqué public n'a été émis à ce jour, un an après les faits. Les clients, dont je fais partie, n'ont pas été informés. Lleida.net étant une société publique côtée en bourse7, les actionnaires auraient peut-être également pu ou dû être informés.

Lleida n'est pas un cas isolé

La société Lleida.net n'est pas la première à inclure des données personnelles dans des pages accessibles publiquement. La CNIL a déjà alerté et sanctionné la société Carrefour8, en novembre 2020, pour des faits similaires :

« Lors d’un achat sur le site carrefour.fr, une facture est mise à disposition du client sur son espace personnel [...]. Cette facture est accessible par une adresse URL fixe. Toute personne disposant de cette adresse peut accéder à la facture émise sans qu’il soit nécessaire de s’authentifier et de se connecter à son espace client. »

L'ANSSI a également alerté, dès 2013, sur les risques à dissimuler des informations derrières des adresses potentiellement secrètes :

« Il faut par ailleurs être prudent à la prévisibilité des URL. Certains sites reposent sur le postulat qu’un attaquant ne pourra pas deviner une autre URL que celle de la page d’accueil et sera limité aux liens dont il aurait pu avoir connaissance. Cette hypothèse est déjà très discutable dans le cas d’URL composées de plusieurs dizaines de caractères parfaitement aléatoires [...]. Elle devient radicalement fausse lorsque la construction des URL suit une certaine logique. Ainsi, il est probable qu’un attaquant voyant une URL de la forme http://www.example.org/doc?id=42 tentera de donner à id la valeur 41 ou 43 etc. »

On ne peut pas publier des informations personnelles ou confidentielles sans protection sur Internet, en espérant que personne ne les trouvera, surtout pour entreprise auditée et certifiée.

Ésperons que leur système de signatures électroniques soit plus sécurisé que leur site Internet.

Note : la société Lleida.net a été informée, avant la publication de cet article, que les détails de l'incident allaient être révélés.

MAJ du 24/03/2021 à 16:00 : la société Lleida m'a indiqué que les clients n'ont pas été informés, car « les mesures techniques et organisationnelles ont été prises immédiatement après mon signalement », « conformément à l'article 34 du RGPD ».

Notes et références

  1. Le règlement européen N°910/2014 du 23 juillet 2014 appelé eIDAS (Electronic IDentification Authentication and trust Services traduit par Identification électronique et les services de confiance pour les transactions électroniques) encadre les pratiques de la signature électronique.
  2. La loi française N°2000-230 du 13 mars 2000 encadre les pratiques de la signature électronique.
  3. Liste des entreprises de confiance homologuées par la France : webgate.ec.europa.eu.
  4. L'entreprise espagnole Lleida Networks fait partie des entreprises de confiance de l'Union Européenne (source).
  5. Pour être précis, dans l'adresse https://www.clickandsign.eu : https correspond au protocole utilisé, www au nom du sous-domaine, et clickandsign.eu au nom de domaine.
  6. Il est courant, en informatique, de nommer identifiant, ou id, un numéro ou une série de caractères qui permet d'identifier de façon unique une information, notamment dans une base de données. Le paramètre idoperacion est en réalité l'id de l'operacion, c'est-à-dire l'identifiant de la transaction.
  7. La société Lleida.net est côtée sur les marchés sous le nom Lleida Networks (BME:LLN) (EPA:ALLLN) (OTCQX:LLEIF).
  8. La CNIL a sanctionné le groupe Carrefour en novembre 2020 pour de nombreux manquements relatifs au RGPD (source).