La Poste nous a informé hier soir que « la faille de sécurité sur la page de l'Espace Web Particuliers du site Colissimo.fr a été corrigée et est encours d'intégration ». Il n'aura suffi que de quelques heures aux services informatiques de Colissimo.fr pour corriger le tir. Le service de communication du groupe nous indique par ailleurs que « des tests seront effectués dès demain afin de pouvoir s'assurer que le problème est bien réglé ».
Rappelons que la faille en question permettait à un client de suivre le cheminement des colis envoyés par des tiers, le tout sans d'autre outil qu'un navigateur.
Dans la foulée de notre article, un autre lecteur nous a signalé une seconde faille, plus importante, que nous avons sur le champ soumis à La Poste. Celle-ci permet à un client qui a effectué un affranchissement en ligne, d'avoir accès aux données personnelles d'autres clients de ce service.
Toujours très simplement, on peut en effet connaître le nom de cet autre expéditeur, celui de son destinataire, le coût de l'envoi effectivement payé et un lien vers la facture et souches d'envoi (avec adresses complètes, n° de téléphone ...). Là encore, un problème d'étanchéité des données entre les différentes variables utilisées par le site.
Sur ce second point, la Poste nous indique être « dans une phase d'analyse », le service promettant cependant de « pouvoir la régler prochainement » après une batterie de tests.