[MAJ] Fuite de données personnelles sur le site de la Poste après un incident technique

Le problème a été résolu depuis, mais les conséquences de la fuite pourraient être plus importantes que prévu.

Crédits Nicolas Duprey via Flickr CC

[MAJ] Suite à la publication de notre article, la Poste nous a contactés pour nous communiquer son droit de réponse. Selon le service des relations presse, et contrairement à ce qu’affirmaient certains internautes, aucune modification n’était vraisemblablement possible pendant le laps de temps concerné par l’incident.

Petit moment de stress pour la Poste hier. En se connectant à leurs comptes grâce à leurs identifiants (mail et mot de passe), des utilisateurs ont eu la mauvaise surprise de découvrir qu’ils étaient connectés, non pas sur leur espace privé, mais sur celui d’un autre client. Plus grave encore, en rafraîchissant la page, ces derniers se retrouvaient aléatoirement sur d’autres comptes utilisateurs. Sur le site, il était non seulement possible, révèle le site français Next Inpact, de voir les commandes en cours ou passées, mais aussi d’accéder à des données personnelles comme des adresses et des informations sensibles, rapportent certains internautes paniqués.

Sur Twitter, les internautes ont rapidement réagi, en apostrophant directement le service sur le problème. De son côté, la Poste a expliqué : “Nous rencontrons actuellement un incident technique au niveau des comptes clients. Soyez rassuré, toutes nos équipes techniques sont mobilisées pour résoudre ce dysfonctionnement au plus vite”. Apparu un peu avant 10h30, il aura fallu attendre une demi-heure pour que le service technique ne décide finalement de mettre le site en maintenance suite à l’apparition du bug, qualifié “d’incident technique” par la Poste. À 11h35, un nouveau message indiquait que le problème “était résolu”, sans donner plus d’information sur les causes et les conséquences du bug en question. Seule bonne nouvelle notable, le compte Twitter officiel du service a assuré aux utilisateurs que les comptes liés au coffre-fort virtuel Digiposte n’avaient pas été impactés. Un soulagement pour les clients du service, qui auraient pu voir plusieurs données sensibles comme leurs fiches de paie, relevés de comptes et papiers d’identité accessibles sans aucun cryptage.