Auteur Sujet: Près de 700.000 données lecteurs de l'Express dans la nature  (Lu 1548 fois)

0 Membres et 1 Invité sur ce sujet

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
Depuis des semaines, des pirates peuvent accéder sans problème à cette colossale base de données de 60 Go contenant noms, prénoms, adresse mail et profession. Nous avons enquêté.

L'hebdomadaire L’Express a laissé un serveur contenant une base de données à caractère personnel de ses lecteurs exposée en ligne pendant des semaines. L’accès aux données ne nécessitant pas de mot de passe.

Même après que le magazine ait été averti de cette fuite, la base de données est restée exposée sans protection pendant un mois, laissant son contenu accessible et téléchargeable par quiconque, y compris des personnes malveillantes qui ont tenté plusieurs fois de récupérer une rançon en échange des données, selon nos informations.

Mickey Dimov, résident de la Floride qui travaille actuellement dans la sécurité informatique pour un important acteur de la défense, a expliqué à ZDNet qu'il a trouvé la base de données par hasard. D’une taille d’environ 60 gigaoctets, la base contenait des données sur plus de 693.000 lecteurs ainsi que d'autres informations essentielles aux opérations en ligne du magazine.

Dimov a contacté L’Express en janvier de cette année, par le biais d’un intermédiaire. Son signalement étant resté lettre morte, il a contacté ZDNet et nous avons également alerté le magazine.

Pendant le mois qui a suivi son signalement, Dimov s'attendait à recevoir des nouvelles de la part de L’Express. Il a constaté que la base de données (du MongoDB) a été attaquée à différentes reprises. Les attaques ont été perpétrées par des personnes qui ont essayé plusieurs fois de voler les données et d’obtenir une rançon en bitcoins, une technique courante utilisée par les fraudeurs contre les bases de données ouvertes et exposées.

Toutes ces tentatives sauf une ont échoué

Dimov a gardé un œil sur la base de données: “J'étais de plus en plus frustré par le manque de communication [avec L’Express]”, nous a-t-il expliqué. "C'est devenu personnel pour moi."

Après que les criminels aient commencé à cibler la base de données, Dimov a fait de son mieux pour la protéger en dupliquant et en restaurant les tables, empêchant ainsi toute perte de données. À partir de l'historique de la table, il apparaît que les attaquants ont probablement essayé d’obtenir une rançon pour la base de données plus d'une douzaine de fois.
"Je ne voulais pas que ces données soient effacées car je craignais que leur [de L’Express] site web et à leur infrastructure y soient intimement connectés", a-t-il expliqué. "Il y avait beaucoup de collections qui semblaient être essentielles à la première page [et] au système d'alerte qu'elles utilisaient pour diffuser les contenus."

Contactée la semaine dernière, la rédactrice en chef de L'Express, Emma Defaud, a confirmé la fuite de données dans un courriel envoyé à ZDNet et s'est dite “reconnaissante” pour le signalement. "Cela a été corrigé", a-t-elle précisé.

Relancé par nos soins afin d'obtenir plus de détails, le magazine nous a fait la réponse suivante: “L’Express a été victime d’une intrusion illégale dans l’un de ses serveurs”, et a minimisé l'impact potentiel, disant que le serveur était “inactif” et “autrefois utilisé à des fins de test”.

ZDNet a obtenu une partie de la base de données pour vérification. Chaque enregistrement contenait le nom et le prénom, l'adresse e-mail et les photos de profil du lecteur, des intitulés de poste ainsi que des informations complèmentaires associées au profil de lectorat en ligne de chaque utilisateur. L'hebdomadaire a confirmé que ni des mots de passe ni des coordonnées bancaires n'étaient stockés dans la base de données non protégée.

“[Le serveur] contenait des données correspondant à des comptes créés en 2016 et précédemment sur le site communaute.lexpress.fr, qui n’existe plus aujourd’hui, soit pour pouvoir poster un commentaire, soit pour recevoir une newsletter”, a expliqué Emma Defaud.

Serveur inactif ? Pas vraiment

Cependant, un examen plus approfondi des enregistrements de la base de données montre le contraire. L'entrée la plus récente dans la base est horodatée du 20 février 2018. Cet enregistrement est cohérent avec la possibilité de créer un nouveau compte en accédant à communaute.lexpress.fr: l'URL qui redirige vers un service de L'Express pleinement opérationnel.

Rappelons que la législation française exige que toutes les données personnelles collectées pour un service qui cesse d'exister soient supprimées ou totalement anonymisées. Si le service avait été résilié depuis 2016, comme l'a indiqué Emma Defaud, cela n'explique pas pourquoi L'Express a conservé ces données. Notre question à ce sujet n’a cependant reçu aucune réponse de la part de l’hebdomadaire.

Comparé à d'autres violations de données, le type de données exposées par L'Express peut ne pas être considéré comme une information à haut risque. Mais la Cour de cassation a jugé en 2016 que les opinions politiques peuvent être considérées comme des données personnelles “sensibles” et nécessitent des protections plus importantes.

Cependant, comme les médias ont des tendances politiques connues, on pourrait faire valoir que le fait de souscrire à un média de gauche ou d'extrême-droite pourrait révéler les opinions politiques d'une personne.

La Commission Nationale Informatique et des Libertés (CNIL) n'a pas clairement indiqué si les données exposées par L’Express peuvent être considérées comme sensibles ou non. Mais alors que beaucoup se sont habitués à une abondante actualité relatant des négligences de données, ces insuffisances vont bientôt se transformer en une responsabilité coûteuse pour les organisations. Les médias ne font pas exception.

Le Règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai prochain, remplaçant un patchwork d'anciennes lois sur la protection des données au sein de l'UE. À la base, la nouvelle loi dispose que toute information identifiant une personne, directement ou non, est une donnée à caractère personnel. Le RGPD fournit également un cadre commun pour la protection des données à caractère personnel dans les États membres de l'UE et précise les règles spécifiques encadrant les transferts de ces données hors de l’UE.

Plus important encore, le RGPD a des conséquences de grande portée pour les organisations en termes de redevabilité des traitements (obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données). Autrement dit, les entreprises et les organisations qui traitent des données à caractère personnel devront fournir la preuve qu'elles font ce qu'elles prétendent faire.

À défaut de fournir ces preuves, des amendes administratives peuvent être infligées, allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires global de l'entreprise pour l'année précédente. Ces sanctions constituent une augmentation significative par rapport à ce qui est déjà prévu par la législation en vigueur.

Une autre amélioration de la réglementation est l'obligation des entreprises de signaler les violations et fuites de données à caractère personnel. Ainsi, chaque fois que des données se baladent non protégées dans la nature, l’organisation responsable de leurs traitements doit informer l'autorité de protection des données nationale.

Dans le cas où la violation des données pourrait avoir des risques élevés pour la vie privée des personnes affectées, tels que l’usurpation d'identité, l'entreprise doit également informer chaque individu concerné.

"Un point unique de défaillance"

Au-delà d'un bref mail à ZDNet reconnaissant la violation de données, L'Express n'a, à notre connaissance, fait aucun effort pour informer ses lecteurs ou les autorités. La CNIL nous a confirmé que L'Express ne l'a pas contactée à propos de cette violation de données. L'Express n'a pas répondu à un courriel demandant pourquoi l'exposition n'avait pas été signalée à la CNIL.

En vertu des lois en vigueur, la plupart des sociétés opérant en France ne sont pas tenues d'informer les autorités d'une violation de données. Mais cela changera avec l’entrée en application du RGPD, rendant une divulgation de violation obligatoire.

L'Express a ajouté dans son courriel que “[notre] équipe technique est mobilisée très rapidement sur le sujet et a éteint ce serveur dès que la faille de sécurité a été identifiée. Elle renforce en permanence la sécurité de l’ensemble de notre infrastructure serveur en s’appuyant sur des experts internes et externes.”

Mais le magazine n'a ni expliqué quelles mesures ont été prises pour sécuriser la base de données ni s’ils avaient reçu des demandes de rançon pour les données, et n'a pas non plus répondu à d'autres questions que nous avons posées.

Une mauvaise gestion d'une base de données vitale contenant des données d’abonnés n'est pas propre à L'Express. D'autres organisations sous-estiment la valeur stratégique de leurs bases de données essentielles. Des budgets IT réduits poussent les médias à externaliser leur gestion informatique. Mais dépendre d'un nombre limité d'acteurs lorsque les choses tournent mal peut conduire à un point unique de défaillance, menaçant l'intégrité et la disponibilité des services Web et des bases de données des abonnés.

En 2015, une panne majeure chez Oxalide, le fournisseur de services d'hébergement de plusieurs médias français, a mis dans le noir des dizaines de sites pendant deux heures suite à un incident de routage BGP. Un an plus tard, la publication spécialisée En-Contact révélait que GLI, l'une des principales sociétés de gestion d'abonnements en France, avait connu plusieurs pannes. GLI assure les abonnements de 40% des médias français, y compris ceux du groupe Condé Nast et de la maison mère de L'Express.

L'incident s'est transformé en crise après que GLI a lutté pendant un mois pour restaurer les données et ses services. Le problème a eu lieu à un moment critique de l'année, à savoir lorsque les gens partent en vacances et changent d'adresse de livraison. Les médias concernés ont perdu l'intégralité de leurs dossiers d'abonnés pendant la durée de l'indisponibilité.


Source: ZDNet.fr par Zack Whittaker; Rayna Stamboliyska | Jeudi 01 Mars 2018.