{"id":4510,"date":"2005-03-01T09:49:00","date_gmt":"2005-03-01T08:49:00","guid":{"rendered":"https:\/\/destinationcyber.com\/?p=4510"},"modified":"2005-03-01T09:49:00","modified_gmt":"2005-03-01T08:49:00","slug":"le-service-en-ligne-paymaxx-vulnerable","status":"publish","type":"post","link":"https:\/\/destinationcyber.com\/?p=4510","title":{"rendered":"Le service en ligne PayMaxx vuln\u00e9rable"},"content":{"rendered":"

La solution d’externalisation des ressources humaines a r\u00e9cemment \u00e9t\u00e9 touch\u00e9e par un grave probl\u00e8me de s\u00e9curit\u00e9. La faille d\u00e9couverte permettait d’acc\u00e9der aux informations personnelles, telles que num\u00e9ro de s\u00e9curit\u00e9 sociale, fiches de salaires… Plus de 25.000 employ\u00e9s \u00e0 travers le monde sont potentiellement concern\u00e9s<\/p>\n

La soci\u00e9t\u00e9 PayMaxx offre au travers de son portail ASP (Application Service Provider), un ensemble de services de ressources humaines d\u00e9di\u00e9 aux entreprises qui souhaitent externaliser ce type de prestations. Ainsi les employ\u00e9s des soci\u00e9t\u00e9s clientes de PayMaxx peuvent tr\u00e8s simplement consulter leurs bulletins de salaires, demander le virement de leurs soldes, g\u00e9rer leurs cotisations de s\u00e9curit\u00e9 sociale ou leurs d\u00e9clarations de revenus.<\/p>\n

Il y a une quinzaine de jour, une faille de s\u00e9curit\u00e9 permettant de r\u00e9cup\u00e9rer les formulaires de d\u00e9claration de revenus de l’ensemble des utilisateurs du service PayMaxx a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e. La vuln\u00e9rabilit\u00e9 aurait expos\u00e9 les num\u00e9ros de s\u00e9curit\u00e9 sociale et bulletins salaires de plus de 25.000 individus.<\/p>\n

\u00ab\u00a0Il n’y a pas de syst\u00e8me qui soit 100% s\u00fbr contre un pirate d\u00e9termin\u00e9\u00a0\u00bb, affirme l’un des porte-parole de PayMaxx. \u00ab\u00a0PayMaxx a par le pass\u00e9, et continue jour apr\u00e8s jour de s’efforcer \u00e0 s\u00e9curiser ses syst\u00e8mes contre tout type de faille\u00a0\u00bb.<\/p>\n

Selon l’acte SB1386, la soci\u00e9t\u00e9 PayMaxx est dans l’obligation d’avertir par lettre recommand\u00e9e l’ensemble de ses clients bas\u00e9s en Californie. A ce jour aucun des clients n’aurait re\u00e7u l’information…<\/p>\n

Une faille si simple \u00e0 exploiter…<\/strong><\/p>\n

Aux \u00c9tats-Unis, l’imp\u00f4t sur le revenu est pr\u00e9lev\u00e9 \u00e0 la source \u00e0 partir d’une estimation globale du revenu annuel. Une d\u00e9claration de revenus est n\u00e9anmoins n\u00e9cessaire une fois l’ann\u00e9e \u00e9coul\u00e9e de fa\u00e7on \u00e0 ajuster le diff\u00e9rentiel au besoin. La d\u00e9claration est bas\u00e9e sur un formulaire, appel\u00e9 W2 qui affiche le montant du salaire per\u00e7u ainsi que les imp\u00f4ts d\u00e9j\u00e0 vers\u00e9s l’ann\u00e9e pass\u00e9e. Ce formulaire est g\u00e9n\u00e9ralement d\u00e9livr\u00e9 par l’employeur en f\u00e9vrier, sachant que la d\u00e9claration doit \u00eatre effectu\u00e9e pour le 15 avril. Pour identifier l’employ\u00e9, le formulaire W2 se base sur un identifiant unique \u00e0 chaque individu : son num\u00e9ro de s\u00e9curit\u00e9 sociale.<\/p>\n

L’un des clients du service PayMaxx, Aaron Greenspan, est le fondateur de Think Computer, une soci\u00e9t\u00e9 de services en s\u00e9curit\u00e9 informatique. Apr\u00e8s avoir \u00e9t\u00e9 averti par son service de ressources humaines que son formulaire W2 \u00e9tait disponible, Aaron s’authentifie sur le portail PayMaxx et r\u00e9cup\u00e8re son formulaire au travers d’un document PDF imprimable. Aaron fut surpris de constater que l’adresse du document pointait vers un fichier stock\u00e9 dans un r\u00e9pertoire nomm\u00e9 \u00ab 2004 \u00bb et que le nom du document \u00e9tait un simple identifiant num\u00e9rique. En bon \u00ab bidouilleur \u00bb, Aaron tente tout d’abord d’incr\u00e9menter ce num\u00e9ro, ce qui lui a permis de r\u00e9cup\u00e9rer le formulaire d’un inconnu !<\/p>\n

En reproduisant l’op\u00e9ration, Aaron a pu d\u00e9montrer que plus de 25.000 formulaires W2 \u00e9taient accessibles \u00e0 tout individu pr\u00e9alablement authentifi\u00e9. Une recherche plus pouss\u00e9e a \u00e9galement d\u00e9montr\u00e9 la pr\u00e9sence du login \u00ab 000-00-000 \u00bb combin\u00e9 au mot de passe \u00ab 000000 \u00bb.<\/p>\n

De plus, les m\u00eames documents seraient disponibles pour les ann\u00e9es pass\u00e9es en modifiant simplement le nom du r\u00e9pertoire.<\/p>\n

A l’issu de sa d\u00e9couverte, Greenspan a bien \u00e9videmment contact\u00e9 par e-mail les \u00e9quipes techniques de PayMaxx et a par ailleurs offert ses services pour les aider \u00e0 r\u00e9soudre le probl\u00e8me.<\/p>\n

Apr\u00e8s 15 jours de silence, la faille est toujours l\u00e0 et Greenspan a publi\u00e9 un papier qui expose les d\u00e9tails du probl\u00e8me.<\/p>\n

En France, les risques li\u00e9s \u00e0 la divulgation du num\u00e9ro de s\u00e9curit\u00e9 sociale restent limit\u00e9s mais aux \u00c9tats-Unis, toute la vie d’un individu est bas\u00e9e sur ce pr\u00e9cieux s\u00e9same. C’est sans doute l’information la plus sensible pour un am\u00e9ricain…<\/p>\n

Si vous souhaitez effectuer une op\u00e9ration bancaire, modifier les services de votre abonnement d’\u00e9lectricit\u00e9, de votre t\u00e9l\u00e9phone mobile, ou tout autre service dont vous \u00eates abonn\u00e9, on vous demandera toujours les 4 derniers chiffres de votre num\u00e9ro de s\u00e9curit\u00e9 sociale.<\/p>\n

[source – Silicon.fr] Norman Girard, Vulnerabilite.com<\/p>\n","protected":false},"excerpt":{"rendered":"

La solution d’externalisation des ressources humaines a r\u00e9cemment \u00e9t\u00e9 touch\u00e9e par un grave probl\u00e8me de s\u00e9curit\u00e9. La faille d\u00e9couverte permettait d’acc\u00e9der aux informations personnelles, telles que num\u00e9ro de s\u00e9curit\u00e9 sociale, fiches de salaires… Plus de 25.000 employ\u00e9s \u00e0 travers le monde sont potentiellement concern\u00e9s<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_citadela_custom_class":"","footnotes":""},"categories":[15],"tags":[],"class_list":["post-4510","post","type-post","status-publish","format-standard","hentry","category-securite"],"_links":{"self":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/4510","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4510"}],"version-history":[{"count":0,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/4510\/revisions"}],"wp:attachment":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4510"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4510"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4510"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}