Comment j'ai repéré une faille dans la sécurité d'Empruntis.com

Pour un premier contact, ce fut un peu raté. Soucieux de tester, pour Vnunet.fr, le site Jechange.fr (comparateur généraliste dans le secteur des services), j’ai demandé, vendredi 19 septembre, des devis pour une assurance-santé. Première surprise : dès que l’on clique sur l’onglet « assurance » de Jechange.fr, le contenu est fourni par un prestataire, Empruntis.com, « spécialiste en crédit immobilier, crédit conso, assurances, placements et rachat de crédit ».

« Nous n’avons pas encore tout développé nous-même », explique Gaël Duval, co-fondateur, avec Renaud Beaupère, de Jechange.fr. « Pour l’instant, nous sous-traitons le mobile à Meilleur Mobile, qui est également partenaire de Kelkoo, et nous sous-traitons l’assurance à Empruntis.com. Ces deux parties devraient être réalisées en interne début 2009. »

Seconde déconvenue : après avoir consciencieusement rempli ma demande (une assurance-santé), sélectionné un prestataire et demandé un devis, je me suis retrouvé sur une fiche récapitulative… qui n’était pas la mienne ! Sont apparus les noms et coordonnées d’une personne que je ne connaissais ni d’Eve, ni d’Adam ! Pour vérifier qu’il ne s’agissait pas d’une fiche « virtuelle » (par exemple, pour expliquer quelles informations il fallait donner), j’ai appelé cet inconnu.

Il m’a répondu qu’il avait effectivement demandé à comparer des offres de crédit il y a environ cinq ans, que l’adresse postale qui figurait sur sa fiche n’était plus valable depuis longtemps, mais qu’en revanche, son mail et son numéro de mobile (qu’il ne possédait pas à l’époque – ce qui laissait supposer qu’il y avait eu croisement avec des bases de données plus récentes) étaient exacts.

Interrogé, Gaël Duval s’est tourné vers son prestataire. Empruntis lui a répondu quelques heures plus tard : « suite à une mise à jour récente en assurance santé, une fonction ne réagissait plus comme prévu dans le cas d’une chaîne de caractères avec une apostrophe dans le champ « adresse ». En conséquence, le dossier se voyait attribué un numéro de client très inférieur aux numéros de client actuel. Dans des cas extrêmement rares, cela pouvait correspondre à un client qui était encore en base, car 99% des clients plus vieux d’un an sont supprimés de la base. Cela explique que M. Henno soit tombé sur les coordonnées d’un client correspondant à un dossier datant de 2002″.

En tout cas, lundi 22 septembre au matin, tout semblait être rentré dans l’ordre : j’ai refait exactement la même procédure et tout s’est normalement déroulé.

(article paru sur Vnunet.fr le 22 septembre 2008)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.