Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Aurélien Cabezon (SecurityVibes)
Published on Monday 28 February 2005
0 comment(s) | Subnetwork France

La société PayMaxx offre au travers de son portail ASP (Application Service Provider), un ensemble de services de ressources humaines dédié aux entreprises qui souhaitent externaliser ce type de prestations. Ainsi les employés des sociétés clientes de PayMaxx peuvent très simplement consulter leurs bulletins de salaires, demander le virement de leurs soldes, gérer leurs cotisations de sécurité social ou leurs déclarations de revenus.

Il y a une quinzaine de jour, une faille de sécurité permettant de récupérer les formulaires de déclaration de revenus de l'ensemble des utilisateurs du service PayMaxx a été révélée. La vulnérabilité aurait exposé les numéros de sécurité sociale et bulletins salaires de plus de 25.000 individus.

« Il n'y a pas de système qui soit 100% sûr contre un pirate déterminé », affirme l'un des porte-parole de PayMaxx. « PayMaxx a par le passé, et continue jour après jour de s'efforcer à sécuriser ses systèmes contre tout type de faille ».

Selon l'acte SB1386, la société PayMaxx est dans l'obligation d'avertir par lettre recommandée l'ensemble de ses clients basés en Californie. A ce jour aucun des clients n'aurait reçu l'information...

Une faille si simple à exploiter...

Au Etats-Unis, l'impôt sur le revenu est prélevé à la source à partir d'une estimation globale du revenu annuel. Une déclaration de revenus est néanmoins nécessaire une fois l'année écoulée de façon à ajuster le différentiel au besoin. La déclaration est basée sur un formulaire, appelé W2 qui affiche le montant du salaire perçu ainsi que les impôts déjà versés l'année passée. Ce formulaire est généralement délivré par l'employeur en février, sachant que la déclaration doit être effectuée pour le 15 Avril. Pour identifier l'employé, le formulaire W2 se base sur un identifiant unique à chaque individu : son numéro de sécurité sociale.

L'un des clients du service PayMaxx, Aaron Greenspan, est le fondateur de Think Computer, une société de services en sécurité informatique. Après avoir été averti par son service de ressources humaines que son formulaire W2 était disponible, Aaron s'authentifie sur le portail PayMaxx et récupère son formulaire au travers d'un document PDF imprimable. Aaron fut surpris de constater que l'adresse du document pointait vers un fichier stocké dans un répertoire nommé « 2004 » et que le nom du document était un simple identifiant numérique. En bon « bidouilleur », Aaron tente tout d'abord d'incrémenter ce numéro, ce qui lui a permis de récupérer le formulaire d'un inconnu !

En reproduisant l'opération, Aaron a pu démontrer que plus de 25,000 formulaires W2 étaient accessibles à tout individu préalablement authentifié. Une recherche plus poussée a également démontré la présence du login « 000-00-000 » combiné au mot de passe « 000000 ».

De plus, les mêmes documents seraient disponibles pour les années passées en modifiant simplement le nom du répertoire.

A l'issu de sa découverte, Greenspan a bien évidemment contacté par e-mail les équipes techniques de PayMaxx et a par ailleurs offert ses services pour les aider à résoudre le problème.

Après 15 jours de silence, la faille toujours là et Greenspan a publié un papier qui expose les détails du problème.

En France, les risques liés à la divulgation du numéro de sécurité social restent limités mais aux Etats-Unis, toute la vie d'un individu est basée sur ce précieux sésame. C'est sans doute l'information la plus sensible pour un américain... Si vous souhaitez effectuer une opération bancaire, modifier les services de votre abonnement d'électricité, de votre téléphone mobile, ou tout autre service dont vous êtes abonné, on vous demandera toujours les 4 derniers chiffres de votre numéro de sécurité social.