Ayant évalué le système de sécurité des sociétés de leasing néerlandaises pour son propre compte, l’entreprise de sécurité IT ESET a découvert certaines failles chez celui-ci. L’expert en sécurité informatique s’est en effet aperçu qu’il est facile d’accéder aux données clients hébergées chez ces firmes de LOA (location avec option d’achat).Selon ESET, des dizaines de sociétés de leasing ont été concernées. Des centaines de milliers d’utilisateurs professionnels ont ainsi pu être affectés par ces fuites de données. Gros plans !
À l’occasion d’une recherche de prestataire pour la gestion de son parc automobile en LOA, ESET procède à une analyse de la sécurité des portails clients de certaines firmes de leasing néerlandaises.
Celle-ci révèle qu’accéder aux informations sensibles (données sur les voitures et sur les conducteurs) centralisées au sein des firmes en question n’est pas bien difficile.
En effet, un expert de l’entreprise de sécurité a pu accéder aisément aux données relatives à son propre véhicule, hébergé chez l’une des sociétés de LOA examinées, et à d’autres informations confidentielles des différents usagers.
Suite à cette découverte, ESET révèle qu’au moins 52 firmes de leasing néerlandaises présentent certaines failles au niveau de leurs portails. Des centaines de milliers d’usagers professionnels ont ainsi été exposés à des fuites de données personnelles (contrats, montants du LOA, etc.). L’entreprise de sécurité ne révèle pas clairement depuis quand ces brèches ont été abusées.
Dave Maasland, directeur d’ESET Nederland indique toutefois que
les failles ont été colmatées et les données des clients sont de nouveau sécurisées. Les conducteurs et les firmes de leasing sont en fait les victimes de bugs dans le software utilisé et souvent acheté. Le fait est que les sociétés de leasing ont la responsabilité de proposer un portail sécurisé à leurs clients. Elles ne peuvent l’héberger chez des tiers, comme chez des fournisseurs de software.
Dave Maasland.
ESET donne plus de détails quant à la manière dont ses experts ont pu accéder facilement aux données des conducteurs de véhicules en LOA.
L’entreprise souligne que la majorité des sociétés de leasing néerlandaises disposent du même progiciel pour leur portail. Si elles avaient chacune leur propre version de portail, elles utilisaient toutefois le même serveur de données.
Ainsi, chaque portail se connectait au serveur avec le même compte, et ce, malgré le fait que chaque firme disposait de sa propre base de données sur celui-ci. C’est la raison pour laquelle l’accès aux données des sociétés de leasing connectées a été rendu possible.
