Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Le service en ligne PayMaxx vulnérable

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur Le service en ligne PayMaxx vulnérable

PayMaxx, une solution d’externalisation des ressources humaines a récemment été touchée par un grave problème de sécurité. La faille découverte permettait d’accéder aux informations personnelles, telles que numéro de sécurité social, fiches de salaires…plus de 25.000 employés à travers le monde sont potentiellement concernés.


La société PayMaxx offre au travers de son portail ASP (Application Service Provider), un ensemble de services de ressources humaines dédié aux entreprises qui souhaitent externaliser ce type de prestations. Ainsi les employés des sociétés clientes de PayMaxx peuvent très simplement consulter leurs bulletins de salaires, demander le virement de leurs soldes, gérer leurs cotisations de sécurité social ou leurs déclarations de revenus.

Il y a une quinzaine de jour, une faille de sécurité permettant de récupérer les formulaires de déclaration de revenus de l’ensemble des utilisateurs du service PayMaxx a été révélée. La vulnérabilité aurait exposé les numéros de sécurité sociale et bulletins salaires de plus de 25.000 individus.

 » Il n’y a pas de système qui soit 100% sûr contre un pirate déterminé « , affirme l’un des porte-parole de PayMaxx.  » PayMaxx a par le passé, et continue jour après jour de s’efforcer à sécuriser ses systèmes contre tout type de faille « .

Selon l’acte SB1386, la société PayMaxx est dans l’obligation d’avertir par lettre recommandée l’ensemble de ses clients basés en Californie. A ce jour aucun des clients n’aurait reçu l’information…

Une faille si simple à exploiter…

Au Etats-Unis, l’impôt sur le revenu est prélevé à la source à partir d’une estimation globale du revenu annuel. Une déclaration de revenus est néanmoins nécessaire une fois l’année écoulée de façon à ajuster le différentiel au besoin. La déclaration est basée sur un formulaire, appelé W2 qui affiche le montant du salaire perçu ainsi que les impôts déjà versés l’année passée. Ce formulaire est généralement délivré par l’employeur en février, sachant que la déclaration doit être effectuée pour le 15 Avril. Pour identifier l’employé, le formulaire W2 se base sur un identifiant unique à chaque individu : son numéro de sécurité sociale.

L’un des clients du service PayMaxx, Aaron Greenspan, est le fondateur de Think Computer, une société de services en sécurité informatique. Après avoir été averti par son service de ressources humaines que son formulaire W2 était disponible, Aaron s’authentifie sur le portail PayMaxx et récupère son formulaire au travers d’un document PDF imprimable. Aaron fut surpris de constater que l’adresse du document pointait vers un fichier stocké dans un répertoire nommé  » 2004  » et que le nom du document était un simple identifiant numérique. En bon  » bidouilleur « , Aaron tente tout d’abord d’incrémenter ce numéro, ce qui lui a permis de récupérer le formulaire d’un inconnu !

En reproduisant l’opération, Aaron a pu démontrer que plus de 25,000 formulaires W2 étaient accessibles à tout individu préalablement authentifié. Une recherche plus poussée a également démontré la présence du login  » 000-00-000  » combiné au mot de passe  » 000000 « .

De plus, les mêmes documents seraient disponibles pour les années passées en modifiant simplement le nom du répertoire.

A l’issu de sa découverte, Greenspan a bien évidemment contacté par e-mail les équipes techniques de PayMaxx et a par ailleurs offert ses services pour les aider à résoudre le problème.

Après 15 jours de silence, la faille toujours là et Greenspan a publié un papier qui expose les détails du problème.

En France, les risques liés à la divulgation du numéro de sécurité social restent limités mais aux Etats-Unis, toute la vie d’un individu est basée sur ce précieux sésame. C’est sans doute l’information la plus sensible pour un américain… Si vous souhaitez effectuer une opération bancaire, modifier les services de votre abonnement d’électricité, de votre téléphone mobile, ou tout autre service dont vous êtes abonné, on vous demandera toujours les 4 derniers chiffres de votre numéro de sécurité social.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.