Fuite de données : des informations du Service Civique, exposé sur le réseau
Le service civique été victime d’une fuite de données utilisateurs de son site web.
L’exposition a été découverte le 30 mai dernier, part de chercheurs spécialisés en cybersécurité. Ils ont immédiatement contacté l’agence du service civique pour lui notifier leur découverte. Une base de données comprenant les informations de plus de 286 000 citoyens, exposé à nu, sur Internet, sans aucune protection.
Cet article va aussi vous intéresser : Les systèmes informatiques isolées ciblés par le malware Ramsay
Il était possible de recueillir dans cette base des informations personnelles, certaines données nominatives telles que des noms ou des prénoms, des adresses mails, des dates de naissance sans oublier la possibilité d’avoir accès à des curriculums vitaes de citoyens. Des données personnelles toutes identifiables, permettant de les relier à des individus de manière concrète et simple. Des données qui en principe devrait être protégées.
Selon le site Comparitech, spécialisé dans l’actualité IT, cette base de données aurait été découverte par Bob Diachenko, un chercheur en sécurité informatique réputé, pour avoir déjà fait plusieurs découvertes de ce genre. Après sa découverte, ce dernier a automatiquement contacté un autre spécialiste de la cybersécurité mais cette fois-ci français, du nom de Baptiste Robert. Avec l’aide de ce dernier, ils réussirent à identifier finalement la base de données et la relier à l’agence du service civique. C’est alors qu’ils contactent l’agence. Cette procédure employée par les chercheurs en cybersécurité, pouvait s’expliquer par le fait qu’ils voulaient s’assurer de la véracité des informations qu’ils avaient observé avant de contacter une quelconque administration.
Selon le spécialiste Baptiste Robert, le problème à l’origine de la fuite de données a été résolu juste « quelques heures » après qu’ils aient pris contact avec l’Agence publique, le soir du samedi 30. « La fuite en question provient d’une base de données MongoDB laissée ouverte, sans authentification », explique le spécialiste de la sécurité. « Mercredi dernier, un prestataire de l’administration a fait une erreur de configuration en mettant en ligne la base de données sans mesure d’authentification, ce qui pouvait permettre à un tiers de consulter les données qu’elle contenait. » indique-t-il.
Selon les dires de Bob Diachenko, la base de données était composée de différents types de données. La première catégorie comprenait les informations personnelles des 286 000 citoyens décrit plus haut. Et comme on l’a signifié, cette base contenait principalement des noms et prénoms, des dates de naissance, des adresses mails… Quant à la deuxième catégorie, l’on pouvait avoir accès à près de 373 000 entrées. Sans oublier qu’elle comprenait les informations provenant de l’application ELISA, logiciel de dématérialisation des conventions (contrat) entre les volontaires de l’agence de service civique et les entreprises qui souhaitent solliciter leurs compétences. Pour résumer, la seconde catégorie compiler des informations concernant les entreprises qui participent et les volontaires. La 3e catégorie de données est relative quant à elle aux données de connexion au site web service civique et son intranet. Composée de plus de 1 millions d’entrées, cette catégorie exposée des noms, des mots de passe, des adresses mails, appartement aux utilisateurs déjà inscrit sur la plate-forme.
Selon les experts de la sécurité, l’agence du service civique face à ce problème de sécurité, à été « très réactive » pour combler la vulnérabilité. « Effectivement, leur prestataire a fait une erreur, mais dans l’ensemble la réaction de l’agence des services civiques a été plutôt bonne. On a évité le pire, c’est à dire le rançonnage des données par un tiers malveillant », poursuit Baptiste Robert.
Concernant la cause de cette fuite, l’agence de service civique déclarait : « l’enquête technique, immédiatement menée, fait apparaître qu’aucune intrusion malveillante sur la plateforme n’est intervenue. Ainsi, à l’exception des deux experts en sécurité informatique qui ont alertés l’Agence du Service Civique, aucune consultation externe n’a été détectée. ». En d’autres termes, leur système n’a pas été touché par une attaque informatique. Concernant la défaillance qui aurait pu conduire à la fuite, l’Agence civique s’est contentée de simplement de parler d’une vulnérabilité, ou plutôt d’une faute de configuration. La note positive dans cette histoire, c’est qu’aucune trace ne démontre que les informations exposées ont véritablement servi dans un quelconque acte de cybermalveillance. Cependant l’agence, a promis d’informer toutes les personnes dont les informations figurait sur la base de données extraite.
Accédez maintenant à un nombre illimité de mot de passe :