Orange accède aux mots de passe en clair dans Flexible Contact Center

Flexible Contact Center est un service de call-center en mode SaaS, commercialisé par Orange, à destination des entreprises.

Les mots de passe des comptes qui sont créés sur cette plateforme sont apparemment stockés en clair, puisqu’il leur arrive de les envoyer par email.

J’ai eu accès à un email envoyé par Orange Business Services à un de ses clients, avec une liste d’utilisateurs de leur plateforme FCC (Flexible Contact Center) ET les mots de passe associés. L’e-mail datait de septembre 2017.

Les personnes concernées avaient choisi leur mot de passe via l’interface de l’outil FCC (il ne s’agissait pas de mots de passe par défaut).

Donc Orange a accès en clair à ces mots de passe. Soit parce qu’ils sont stockés en clair, soit parce qu’ils sont chiffrés avec un algorithme réversible (et non un hash).

C’est évidemment très problématique en termes de sécurité (et contraire aux recommandations de la CNIL). Et les envoyer par email (non chiffré) n’arrange bien sûr pas les choses, d’autant que les destinataires email n’étaient pas les titulaires des comptes, mais d’autres employés du client en question.

Pour l’anecdote, la page web du produit mettait en avant le slogan suivant, il y a encore quelques semaines :

Avec Flexible Contact Center (…) Vous faites le choix de la confiance et de la sécurité

(la page a été entièrement refaite entre-temps, mais on retrouve cette version sur WayBackMachine)

J’ai fait un signalement à la CNIL (le 18/11/2017) : une réponse automatique m’indiquait un délai moyen de réponse de 60 jours. C’est à peu près le temps qu’il a fallu pour que je reçoive un autre e-mail (le 09/01/2018) :

Nous vous remercions de nous avoir contactés.

Votre signalement nous est très utile pour identifier les organismes publics ou privés qui ne se conformeraient pas aux dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ainsi que pour prendre les mesures qui s’imposent.

Il a été transmis à notre service des contrôles.

Bref, ça risque de prendre du temps… D’autant qu’il n’y a pas moyen de vérifier cela de l’extérieur.

Cela dit, je ne jette pas la pierre à la CNIL, qui est un organisme qu’on a la chance d’avoir en France, et qui fait probablement ce qu’il peut avec les moyens qu’il a.

En parallèle, je viens de contacter le CERT d’Orange directement (le 10/01/2018). Étant donné qu’il ne s’agit pas d’une faille de sécurité exploitable depuis l’extérieur, j’ai décidé de publier cet article pour faire avancer les choses.

Mise à jour le 03/02/2018 : après échanges avec le CERT d’Orange, ils m’ont répondu ce qui suit :

Suite à votre alerte auprès du CERT d’Orange et aux informations que vous nous avez fournies, nous avons étudié avec la plus grande attention la situation que vous nous avez signalée.

Nos équipes ont d’ores et déjà engagé les évolutions nécessaires pour parfaire le fonctionnement de la solution concernée.

Nous vous remercions pour votre vigilance qui contribue à l’amélioration de nos services.

Donc la correction est en cours : tant mieux, c’était l’objectif.

Je leur ai précisé qu’il s’agissait bien, à mon sens, d’une correction d’un trou de sécurité, et non d’une « évolution » pour « parfaire le fonctionnement »…

Mise à jour le 30/10/2018 : d’après les informations que j’ai pu avoir par ailleurs, la correction s’est traduite par une migration des clients vers une nouvelle version du FCC, sur un autre serveur. Ça n’a pas été indolore pour certains clients, puisqu’il y avait changement d’URL, d’IP pour les interfaces avec leur SI etc. La migration a commencé avant l’été, puis a été reportée par Orange pour cause de problèmes techniques de leur côté. A début octobre, tous les clients n’étaient pas encore migrés. C’est donc au moins 9 mois écoulés entre le signalement et la correction complète.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *