Genius est le service d’encaissement, de gestion des stocks et d’inventaire destiné aux TPE et PME ainsi qu’aux indépendants. Il appartient au groupe La Poste. C’est ce dernier qui a été prévenu par des hackers éthiques de VPNMentor : une faille dans la base de données expose des millions de données, notamment sur des vendeurs mais aussi sur des clients et des fournisseurs.

Des hackers éthiques alertent La Poste et la CNIL d’une importante faille dans une base de données

Une équipe de recherche de VPNMentor a découvert une fuite sur une base de données appartenant à Genius, l’application sous Android qui permet d’aider les propriétaires de petits magasins au travers de nombreux processus. La base de données touchée recense principalement des informations sur les paiements effectués via l’application, à propos du vendeur, de l’acheteur, mais aussi des fournisseurs. On retrouve parmi ces données, entre autres, des mails, des noms, des numéros de téléphone, mais aussi des factures, des inventaires, et des bilans de transactions faites par une entreprise sur l’application.

Au total, la brèche de sécurité de Genius toucherait au moins 23 millions d’enregistrements et des utilisateurs de partout en France. Découverte le 11 novembre dernier, la faille n’a été clôturée que le 8 décembre, cela en sachant que La Poste a été prévenue le 13 novembre, soit deux jours après la découverte et que VPNMentor a averti la CNIL dès le 18 novembre. Il aura donc fallu un peu moins d’un mois pour que l’accès à la base de données soit fermé.

Une faille qui aurait pu être évitée selon VPNMentor

« Cette fuite de données est une sérieuse violation des protocoles de sécurité des données de La Poste et des développeurs de cette appli. Si La Poste peut être louée pour sa transparence en ce qui concerne la protection des données de ses utilisateurs, les découvertes de notre équipe indiquent qu’elle n’a pas pris suffisamment de mesures pour protéger lesdites données. Si des criminels ou des hackers malveillants avaient accédé à ces données, il y aurait des implications sérieuses pour la confidentialité et la sécurité des personnes affectées » a déclaré l’équipe de VPNMentor.

Il faut donc comprendre ici que cette faille aurait pu avoir de lourdes conséquences, si elle avait été découverte par des personnes moins responsables que les employés de VPNMentor. L’entreprise estime aussi que la faille aurait largement pu être évitée si La Poste avait pris les mesures nécessaires, à savoir “la sécurisation des serveurs, la mise en place de règles d’accès solides”. Elle n’aurait pas non plus dû laisser Genius ouvert sur internet, dans la mesure où le système ne nécessite pas d’authentification.

Du côté de La Poste, le directeur de la cybersécurité indique que le nombre de données concernées annoncé par VPNMentor ne serait pas le bon, mais aussi que le groupe réalise des tests sur Genius, de façon régulière, et que la faille n’aurait pas touché de données à haut risque. Ainsi, le groupe n’a pas eu à notifier ses clients dans le cadre du RGPD et la CNIL ne lui a pas ordonné de le faire non plus.