•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Des photos de colis d’Amazon livrés par BNI accessibles en ligne pendant des mois

BNI livre des colis d'Amazon au Nouveau-Brunswick, en Nouvelle-Écosse, à l'Île-du-Prince-Édouard, au Québec et en Ontario.

Deux colis embrouillés et une étiquette de livraison caviardée.

Ces photographies prises avant que BNI sécurise sa base de données démontrent qu’il était facile d’avoir accès aux renseignements de livraison des colis, notamment le lieu et l’heure de la livraison.

Photo : Radio-Canada

Radio-Canada

Les clients d’Amazon qui ont reçu des colis livrés par l’entreprise BNI ces derniers mois ont vraisemblablement eu des photographies de leur porte et de leurs colis facilement accessibles en ligne.

Le développeur web Maxime St-Pierre a découvert qu’une base de données de BNI pour le suivi des colis – qui affiche des photographies prouvant la livraison, les coordonnées GPS et l’heure de la livraison – était accessible publiquement à toute personne sachant se servir d’un ordinateur.

M. St-Pierre explique qu’il a fait cette découverte par hasard en consultant le logiciel au sujet de la livraison d’un colis qu’il avait commandé et qui était livré par BNI.

Un colis d'Amazon devant une porte. (Photo d'archives)

Un colis d'Amazon devant une porte. (Archives)

Photo : Radio-Canada / Axel Tardieu

Les clients n'étaient pas identifiés dans la base de données et leurs renseignements financiers n’y figuraient pas, mais il était possible de voir sur certaines photographies l’étiquette du colis indiquant le nom et l’adresse du destinataire.

BNI, aussi connue sous le nom de Brunswick News, est une ancienne propriété de l’entreprise J. D. Irving qui a été achetée par Postmedia l’an dernier. L'entreprise livre des colis d'Amazon au Nouveau-Brunswick, en Nouvelle-Écosse, à l'Île-du-Prince-Édouard, au Québec et en Ontario.

À lire aussi :

Une porte-parole de Postmedia, Phyllise Gelfand, explique que la base de données était configurée par erreur pour être publique alors qu’elle devait être privée.

Selon Mme Gelfand, Postmedia a récemment été informée du problème et a immédiatement mis en œuvre une solution permanente. Seuls les clients peuvent maintenant voir les photos de livraison, dit-elle.

Les photographies peuvent montrer tout au plus le nom et l’adresse du client et peut-être identifier le vendeur, ajoute Mme Gelfand.

Modifier un numéro pour trouver le colis d’autrui?

Les numéros de suivi de l’entreprise étant séquentiels, il aurait été facile pour qui que ce soit de changer légèrement le sien pour avoir accès aux renseignements d’autres clients. Il aurait été possible de savoir où les livraisons les plus récentes ont eu lieu et à quel moment la photographie a été prise.

Les personnes ayant un minimum de connaissances pouvaient simplement modifier l’adresse URL dans un navigateur web pour avoir accès à la racine de la base de données, c’est-à-dire à la liste de toutes les entrées, explique Maxime St-Pierre. C’est ainsi qu’il l’a trouvée lui-même. Si la base de données avait été sécurisée, dit-il, il n’aurait pas eu accès à cette liste.

Un employé d'Amazon manipule un colis dans un centre d'expédition.

L'entreprise NBI livre des colis d'Amazon au Nouveau-Brunswick, en Nouvelle-Écosse, à l'Île-du-Prince-Édouard, au Québec et en Ontario.

Photo :  (Evan Mitsui/CBC)

Selon M. St-Pierre, le service de base de données qu’utilise BNI est public par défaut. Il dit avoir constaté ce même genre de problème ailleurs auparavant à plusieurs occasions.

C’est comme des fruits sur des branches basses. Si quelqu’un peut les trouver en 15 minutes, qu’est-ce qu’on peut trouver en 4, 8 ou 12 heures?, affirme M. St-Pierre.

Le problème signalé deux mois avant qu’il soit corrigé

Maxime St-Pierre dit qu’il a signalé le problème à BNI il y a deux mois et que personne n’a répondu à ses courriels ni à ses appels. Puis, mercredi, il a annoncé sa découverte en ligne pour prévenir les gens.

BNI a fermé le site web environ quatre heures plus tard. L’entreprise cherche à déterminer pendant combien de temps le problème a duré. Mme Gelfand rappelle que Postmedia n’en est propriétaire que depuis mars 2022. Elle dit que Postmedia effectue ces temps-ci des vérifications de sécurité sur les plateformes récemment achetées.

Phyllise Gelfand invite tout client qui souhaite exprimer ses préoccupations à communiquer avec un agent du service de protection de la vie privée de l’entreprise.

Quelles conséquences sur la clientèle?

Ce genre de faille de sécurité d’une base de données est très courant, selon l’expert en cybersécurité, David Shipley.

L’institution financière américaine Capital One, par exemple, a été la cible d'un important piratage informatique en 2019 parce que sa base de données était insuffisamment sécurisée.

David Shipley dans son bureau.

Ce genre de faille de sécurité concernant une base de données est en fait un problème courant, selon l'expert en cybersécurité David Shipley.

Photo : Radio-Canada / Jennifer Sweet

Selon M. Shipley, il est difficile de déterminer les conséquences de la faille de sécurité de BNI sur ses clients parce qu’on ignore si une personne malintentionnée y a eu accès.

Mais le fait que les renseignements financiers des clients et le contenu des colis n’étaient pas indiqués est une bonne nouvelle pour eux, ajoute-t-il.

D’après un reportage de Hadeel Ibrahim, de CBC

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !

Vous avez repéré une erreur?

Signalez-la-nous

Vous avez des questions sur notre travail?

Consultez nos Normes et pratiques journalistiques

Nouveau-Brunswick

En cours de chargement...

Internet