Les failles de sécurité découvertes dans la plateforme de commerce électronique de Honda auraient pu être exploitées pour obtenir un accès illimité aux informations sensibles des concessionnaires.
« Des contrôles d’accès défectueux ou manquants ont permis d’accéder à toutes les données de la plateforme, même lorsque l’utilisateur était connecté en tant que compte de test », a déclaré le chercheur en sécurité Eaton Zveare dans un rapport publié la semaine dernière.
Le piratage, en quelques mots, exploite un mécanisme de réinitialisation de mot de passe sur l’un des sites de Honda, Power Equipment Tech Express, pour réinitialiser le mot de passe associé à n’importe quel compte et obtenir un accès complet au niveau administrateur.
Pour ne rien arranger, ce défaut de conception aurait pu être utilisé pour accéder aux clients d’un concessionnaire, modifier son site web et ses produits et, pire encore, élever ses privilèges au rang d’administrateur de l’ensemble de la plateforme – une fonction réservée aux employés de Honda – au moyen d’une demande spécialement conçue pour afficher les détails du réseau de concessionnaires.
Au total, les faiblesses ont permis un accès illégitime à 21 393 commandes de clients pour l’ensemble des concessionnaires entre août 2016 et mars 2023, à 1 570 sites web de concessionnaires, à 3 588 comptes de concessionnaires, à 1 090 courriels de concessionnaires et à 11 034 courriels de clients.
Cette révélation intervient quelques mois après que M. Zveare a détaillé des problèmes de sécurité dans le système de gestion des informations de préparation des fournisseurs de Toyota et dans le système de gestion de la relation client C360, qui auraient pu être exploités pour accéder à un grand nombre de données de l’entreprise et de ses clients.