M6 diffuse des données confidentielles sans les flouter, les informations sont à la merci des pirates
L'émission Capital a diffusé à une heure de grande écoute l'adresse Web permettant d'accéder aux comptes d'un établissement de restauration. Et il lui aura fallu plus d'une semaine et l'alerte donnée par un twittos avant de se rendre compte de son erreur et de supprimer l'émission en question.
Que se passe-t-il lorsqu'une grande chaîne affiche une URL en clair en prime time, URL qui permet d'accéder directement aux données confidentielles d'un établissement de restauration ? La chaîne en question s'aperçoit-elle immédiatement de son erreur et édite-t-elle son replay en conséquence ? Pas vraiment. Et même quand un utilisateur Twitter suivi par plus de 75 000 personnes tire le signal d'alarme, la petite chaîne qui monte est plutôt longue à la détente.
C'est ce dimanche 31 juillet 2022 que M6 diffusait son émission Capital ayant pour thème “Bord de mer : les business qui flambent au coucher du soleil”. Parmi les différents reportages de l'émission de Julien Courbet, l'un d'entre eux s'attardait sur un bar/terrasse. Et parmi les différentes images qui illustraient le côté lucratif à l'heure de l'apéritif de ce type de commerce, on a pu voir… Une adresse Web affichée en clair, laquelle permet d'accéder aux comptes de l'entreprise. Pire : le document est non seulement consultable, mais il est aussi éditable par n'importe quel internaute.
A lire aussi : la fusion entre TF1 et M6 pourrait finalement être annulée
Oups, M6 affiche une URL permettant d'accéder aux données confidentielles d'un bar
Le document en question, dont l'adresse Web aurait certainement dû être floutée avant diffusion, permet donc d'accéder aux résultats financiers du bar. Tout y figure : le nombre de commandes passées, le chiffre d'affaires au quotidien de l'entreprise… De quoi faire le bonheur des établissements concurrents.
Dévoilée sur Twitter par Defend Intelligence, ingénieur en IA et célèbre Youtubeur, la bourde a également fait la joie des internautes. Car le document confidentiel n'est pas seulement consultable, il peut être aussi édité. Dès lors, libre à chacun de modifier les données, d'en supprimer, d'ajouter des commentaires qui n'ont rien à faire là, etc.
À l'heure où nous écrivons ces lignes, l'émission n'est plus accessible sur la plateforme de M6 Replay. Mais elle l'était encore en milieu d'après-midi. Au-delà de la question de savoir “à qui la faute” (M6 qui a oublié de flouter l'URL ou l'établissement en question qui a laissé la chaîne filmer un document confidentiel ?), cette bourde met évidence la sécurité et le partage de documents sur le Web. Car négligence il y a eu pour ne pas avoir protégé le document et faire en sorte que seuls les employés et le responsable de l'établissement puissent y avoir accès.
Si vous ne la connaissez pas encore, voici l'option qui permet de limiter les accès d'un document ou d'un tableau Google Docs (en édition et en consultation) : Fichier > Partager > Partager avec d'autres utilisateurs > Accès général > Limité.
Pas besoin d'être un gros hacker pour avoir accès à une fuite de données.
Hier j'ai découvert dans l'épisode de la semaine dernière de @CapitalM6 a affiché l'écran d'un ordinateur d'un bilan financier avec les détails de vente d'un bar/terrasse avec l'URL EN CLAIR. Et… 1/3 pic.twitter.com/oRczP40nl2
— Anis Ayari | Defend Intelligence (@DFintelligence) August 8, 2022
