SFR corrige une fuite de données dans les MMS de ses clients

Une faille informatique, sur le site www.vosmms.com de l’opérateur SFR a été corrigé récemment. En effet, une simple modification d’URL, permettait d’acceder aux MMS des clients de l’opérateur.

Pour regarder ses photos, on se connecte au site via un login/mdp unique, communiqué par l’opérateur. Cependant il était possible d’accéder aux photos des autres clients en modifiant l’adresse du site, adressée par SMS.

La fuite, détectée le 21 juin a entrainé la fermeture du site jusqu’au lendemain, le temps de corriger et vérifier que tout allait bien.

Cependant quelques questions se posent:

  • l’opérateur a t-il notifié la CNIL de cette fuite de donnée comme l’exige le décret d’août 2011?
  • Les clients utilisant le services ont-ils été avertis?
Pour rappel: la communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende. Et la divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende. Article 226-22 du Code Pénal
Il existe aujourd’hui des solutions d’assurances prenant en charge les conséquences financières de ce type de sinistre (notification, communication,…). Elles viennent en complement des garanties RC classiques qui, elles, les excluent systématiquement. Pour plus d’infos, contactez nous!

A suivre…

SI vous utilisez les clés sécurisés RSA, lisez ceci…

Des scientifiques ont mis au point une attaque qui prend quelques minutes seulement pour “cracker” les clés cryptographiques SecurID de RSA* que les entreprises et les organismes gouvernementaux utilisent pour accéder à leurs réseaux, pour chiffrer les disques durs, et pour signer numériquement des e-mails.

L’exploit, décrit dans un document qui sera présenté lors de la conférence CRYPTO qui aura lieu en Aout 2012, ne demande que 13 minutes pour extraire la clé secrète d’une clé RSA SecurID 800, et par consequence accèder a toutes les informations  confidentielles, les réseaux privés virtuels, les domaines d’entreprise, et autres environnements sensibles protégés par celle-ci. L’attaque fonctionne aussi contre d’autres appareils couramment utilisés, notamment les cartes d’identités électroniques que le gouvernement Estonien utilise.

Article complet a lire ici

*RSA Security est une entreprise du groupe américain EMC. Ses produits les mieux connus sont les bibliothèques cryptographiques B-SAFE et le ticket d’authentification SecurID. Le 17 mars 2011, RSA avait publié une lettre ouverte où elle annoncait, tout en restant vague, que certaines informations liées à l’utilisation des clés SecurID auraient été dérobées sur leurs serveurs.