Données personnelles : la poste américaine corrige une faille de sécurité… un an après avoir été avertie

On peut dire que l’United States Postal Service (USPS) a pris son temps. Le service postal américain a corrigé une faille de sécurité sur son site qui permettait d’accéder aux données personnelles de 60 millions de clients, dont les adresses postales. Cette faille a été révélée pour la première fois il y a un an maintenant.

La faille était due à l’API du site de l’USPS et sa façon de fonctionner. Cette API est normalement réservée aux commerçants et permet d’avoir le suivi de livraison d’une commande faite par un client. L’USPS a mal fait son travail et son API pouvait techniquement être utilisée par n’importe qui parce que l’accès était mal sécurisé. Les données récupérées comprennent les adresses e-mail, les numéros de téléphone, les pseudos ou encore les adresses postales.

La poste américaine tente de calmer le jeu concernant cette faille de sécurité. « Les réseaux informatiques sont constamment attaqués par des criminels qui tentent d’exploiter les vulnérabilités pour obtenir illégalement des informations », a indiqué l’USPS à Krebs on Security. « Toute information suggérant que des criminels ont tenté d’exploiter des vulnérabilités potentielles de notre réseau est prise très au sérieux. Par mesure de précaution, le service postal poursuit son enquête afin de s’assurer que toute personne qui aurait pu chercher à accéder à nos systèmes de façon inappropriée soit poursuivie dans toute la mesure permise par la loi », ajoute le communiqué.

Ce n’est pas la première fois que l’USPS connaît un problème informatique. En 2014, les données personnelles de 800 000 employées ont été exposées, ainsi que 2,9 millions de dossiers de demandes de renseignements de clients.