Assurance en ligne : Amaguiz a laissé traîner des données sensibles en ligne

Le site amaguiz.com présentait une faille de sécurité. Une partie du fichier  facturation des clients de l’offre au kilomètre était accessible sur le net très simplement, sans mot de passe.  Le dossier a rapidement été supprimé selon une responsable du site.

Le 25 juin dernier, le site ZATAZ.COM annonce avoir pu accéder à une base de données client de l’assureur low-cost en ligne Amaguiz.com. “Une coquille informatique” a permis au journaliste du site de faire une copie d’écran d’un fichier client de 5 077 noms.  Il s’agissait des factures des clients “pay as you drive” (offre d’assurance au kilomètre parcouru, NDR) . Contactée, la directrice marketing et communication parle d’un “non-évènement”.

“Ce dossier ne contenait que des factures de clients de l’offre pay as you drive. Il n’y avait ni adresse, ni numéro de téléphone pour joindre nos clients” a rectifié Nelly Brossard, directrice marketing et communication de la filiale de Groupama. Si les adresses physiques et les numéros de téléphone étaient bien absents du fichier, les courriels, marque et modèle du véhicule, plaques d’immatriculation ainsi que les coordonnées du conseille r amaguiz étaient librement consultables. Le site ZATAZ.com a envoyé une alerte avant de publier son article, comme à chaque fois qu’il détecte ce type de faille, qui a eu l’effet escompté : “Le fichier a été supprimé quelques minutes après que le site nous ait averti. Même si ce n’est pas bon pour notre image, c’est un non évènement” ajoute Nelly Brossard.

Toujours selon Amaguiz, la faille se trouvait dans un site “test” dans lequel avaient été déposées les vraies factures de “quelques clients uniquement”. Pourtant, le dossier était accessible sur une adresse de type  amaguiz.com/nom du dossier, une extension du site principal.  Même si cette extension était un dossier test, sa mise en ligne sur le site principal, sans aucune protection relève de l’étourderie manifeste.  LA responsable de la communication de l’assureur se veut rassurante : “il ne s’agissait ni de la totalité du fichier client, ni même de tous les clients pay as you drive” . En effet, le site a annoncé qu’à fin mars, 15 000 clients avait souscrit une offre et que la facturation au kilomètre représentait la moitié des clients.

A ce jour, les clients Amaguiz n’ont pas contacté leur assureur, notamment grâce à la relative discrétion de l’information qui est restée longtemps dans les blogs et sites des spécialistes de la sécurité informatique. “Notre site est bien protégé” a tenu à rappeler Nelly Brossard. Il n’empêche, pour un assureur en ligne, ce genre de problème est très sensible. Si la confiance des internautes dans les différents sites de vente en ligne reste assez élevée, tout évènement décrédibilisant la sécurité fait du tort… à tout le web.

 

L’article de zataz.com