Des utilisateurs qui passent d'un compte client à l'autre à chaque fois qu'ils rechargent la page. C'est la drôle de surprise qu'ont vécu de nombreux clients sur le site de La Poste ce jeudi 20 juin. Selon le site ZATAZ, spécialisé dans la cyber-sécurité, il s'agit d'un bug de gestion des cookies, ces fichiers qui permettent aux sites web de reconnaitre leurs visiteurs. "Quand je me connecte on m'appelle Madeleine, si j'actualise, je suis Samy... Et quand j'upload un courrier et que je demande la prévisualisation, je peux lire celui de Myriam", fait ainsi remarqué un utilisateur sur Twitter. Certains utilisateurs ont ainsi pu accéder aux comptes d'autres clients de La Poste et donc, à des données personnelles.
L'entreprise a répondu aux multiples signalements sur le réseau social en indiquant dans un premier temps que "toutes [ses] équipes [étaient] mobilisées pour résoudre ce dysfonctionnement au plus vite", et que le site avait été mis en maintenance en attendant. La Poste a ensuite indiqué que le problème — qualifié d'"incident technique au niveau des comptes clients" — "était résolu", et a présenté ses excuses. Contacté par Business Insider France, La Poste a répondu avec le communiqué suivant :
"Une mise à jour technique a entrainé un dysfonctionnement sur le site laposte.fr ce matin. Les clients connectés ont eu accès à des données de profils qui n’étaient pas les leurs (nom, prénom, adresse, date de naissance, opérations postales en cours). Aucunes données sensibles ni bancaires n’ont été divulguées. L’incident est désormais clos et n'a duré qu'une vingtaine de minutes."
Moi c'est NICOLAS ! pic.twitter.com/iWWc4y8Zlc
— 78tiret17 (@78tiret17) June 20, 2019
Bonjour, nous rencontrons actuellement un incident technique au niveau des comptes clients. Soyez rassuré, toutes nos équipes techniques sont mobilisées pour résoudre ce dysfonctionnement au plus vite. 1/3
— La Poste (@lisalaposte) June 20, 2019
Bonjour, l'incident est résolu. Je vous présente les excuses de La Poste pour la gêne occasionnée. Bonne journée.
— La Poste (@lisalaposte) June 20, 2019
Un incident qui, selon ZATAZ, aurait pu permettre à un individu malveillant de copier les informations affichées. Le site note également que le RGPD (régime général de protection des données) s'applique dans un tel cas. Le Poste doit normalement prévenir les autorités et informer les personnes concernées de la violation de leurs données personnelles, en vertu du texte entré en application en 2018.