Ticketmaster UK a alerté ses clients d’un d’incident de sécurité liée à une tierce partie susceptible d’avoir compromis leurs informations personnelles.
Sur un site Web destiné aux clients dont les données ont été compromises suite à un incident impliquant un produit Inbenta – une entreprise spécialisée dans les chatbots et moteurs de recherche – la société de vente de billets Ticketmaster UK a déclaré qu’un ou des tiers inconnus avaient eu potentiellement accès à leurs informations personnelles.
La compromission
« Le samedi 23 juin 2018, Ticketmaster UK a identifié un logiciel malveillant sur un produit de support client hébergé par Inbenta Technologies, un fournisseur externe de Ticketmaster. Dès que nous avons découvert le logiciel malveillant, nous avons désactivé le produit Inbenta sur tous les sites Web de Ticketmaster« , détaille-t-il sur son site. En cause, selon les précisions apportées par Inbenta, un extrait de code Javascript, implémenté sur une page de paiement qui offrait la possibilité d’uploader des fichiers à travers les formulaires web. Le CEO d’Inbenta, Jordi Torras, explique : « À la suite d’une enquête menée par nos deux parties, nous avons pu confirmer que l’origine de la fuite de données était un unique extrait de code Javascript, développé sur-mesure par Inbenta pour répondre aux besoins spécifiques de Ticketmaster. » (voir plus bas).
Qui a été touché ?
« Moins de 5% de notre clientèle mondiale« , selon le vendeur. Les clients en Amérique du Nord n’ont pas été touchés, précise-t-il. Mais indique plus loin : « Nous avons contacté des clients susceptibles d’avoir été touchés par l’incident de sécurité. Les clients britanniques qui ont acheté ou tenté d’acheter des billets entre le mois de février et le 23 juin 2018 peuvent être touchés ainsi que les clients internationaux qui ont acheté ou tenté d’acheter des billets entre septembre 2017 et le 23 juin 2018. » Et tous les clients de Ticketmaster International en dehors du Royaume-Uni devront réinitialiser leur mot de passe par mesure de précaution..
Quelles données compromises ?
« En raison de l’utilisation du produit Inbenta sur les sites Web de Ticketmaster International, certains renseignements personnels ou de paiement de nos clients peuvent avoir été consultés par un tiers inconnu « , indique le vendeur de billets. Noms, prénoms, coordonnées personnelles ou encore numéros de carte de crédit sont donc bien évidemment susceptibles d’avoir été dérobées, même si le vendeur ne le précise pas.
Des procédures à revoir ?
Identification du logiciel malveillant, résolution du problème, appel à des experts en sécurité pour comprendre comment les données ont été compromises, travail avec les autorités compétentes et les banques… Ticketmaster UK semble avoir bien agi. Reste qu’il semble dépourvu face à un prestataire externe impliqué, qu’il met du reste bien en avant, comme pour se dédouaner. Le seul « titre » de son communiqué en ligne suffit à le penser : « Information about data security incident by third-party supplier » ? (« Information concernant un incident de sécurité par un fournisseur tiers »). A l’heure du RGPD, où la responsabilité en matière de sécurité est partagée entre entreprises et sous-traitants/fournisseurs, Ticketmaster UK s’est-il suffisamment assuré de sa propre conformité et de celle d’Inbenta ? Devra-t-il revoir ses procédures internes et externes ? Sans doute, car sa e-réputation est en cause.
Pour le moment, pour la « réparer », il a indiqué que tous les clients qui ont reçu de sa part une notification de possible piratage se voient offrir pendant 12 mois un service gratuit de surveillance d’identité.
La société Inbenta qui revendique des centaines de clients sur les 6 continents – en France, Maaf, amaguiz.com, Izilio sont cités sur son site local – défend sa technologie, et face aux accusations de Ticketmaster, établit sa ligne défense : le problème n’a aucun rapport avec les produits d’IA et de machine learning d’Inbenta. Le CEO d’Inbenta, Jordi Torras, explique qu’il s’agit là d’un cas spécifique sur une implémentation très particulière, assurant que « Ticketmaster a déployé directement ce script [le code Javascript impliqué à l’origine de la fuite de données] sur ses pages de paiement, sans avertir notre équipe. Si nous avions su que ce script allait être utilisé dans ces conditions, nous l’aurions fortement déconseillé, dans la mesure où il impliquait un risque de vulnérabilité. L’assaillant(s) a repéré, modifié, et utilisé ce script pour extraire les informations des paiements des clients de Ticketmaster effectués entre février et juin 2018.
Mais si, à l’analyse de ces déclarations, Inbenta connaissait le risque de vulnérabilité du script incriminé, comment se fait-il qu’il ait été mis à disposition de Ticketmaster ? « Un des avantages d’héberger sur les serveurs d’Inbenta les scripts intégrés sur les sites de nos clients est la flexibilité que nous leur procurons dans la mise à jour et l’ajout de nouvelles fonctionnalités. L’inconvénient de cela est que nous ne pouvons pas surveiller sur quelles pages nos clients déploient ces scripts et nous ne pouvons ainsi pas empêcher qu’ils soient intégrés sur des pages sensibles« , explique-t-il.
Un scénario catastrophe donneur de leçons.
