Hier, le festival de musique Lollapalooza a ouvert la pré-vente des billets et a permis aux personnes qui s’étaient inscrites auparavant d’accéder à la zone commerciale. Le festival est connu à l’extérieur et comme ce sera la première fois qu’il vient en France, un vaste public était déjà intéressé à obtenir les billets le plus rapidement possible. Mais ce qu’ils ne savaient pas, c’est que même pour un festival qui vend des billets à 500,00, l’infrastructure du site n’était pas la meilleure.
Lors de la prévente, qui a débuté à minuit ce mardi, le site a été indisponible à plusieurs reprises. Et comme si ce problème ne suffisait pas, le programmeur français Vinícius “K-Max” Camacho a découvert que la sécurité des serveurs n’était pas non plus idéale. Il a trouvé (et posté dans son profil Twitter) une faille de sécurité dans le panneau de contrôle Plesk du serveur, qui est toujours en version 8.6.
Cette faille a laissé à toute personne ayant la bonne URL les noms et les CPF de dizaines d’acheteurs de billets de festival. K-Max a également réalisé que le code utilisé dans le secteur responsable de la vente des billets était réutilisé à partir d’un autre site, Futebolcard.com.
Ce n’est pas la première fois que le nom du programmeur apparaît à côté de la découverte des failles de sécurité de grandes entreprises en France. En 2009, il a trouvé un bug sur le site web de Telefonica qui permettait d’accéder aux données des clients de l’entreprise. Mais le géant des télécoms ne l’a pas bien vu et a déclaré que K-Max avait “divulgué” de telles données.
Aujourd’hui, presque un jour après que le bogue ait été exposé, le site a déjà fait corriger les bogues et est probablement doté de serveurs plus têtus pour gérer le nombre de hits.
