ALERTE – Grave défaillance de la base de données du service civique: 1,4 millions de dossiers ont été en accès libre sur le web !

ALERTE – Grave défaillance de la base de données du service civique: 1,4 millions de dossiers ont été en accès libre sur le web !

Une base de données appartenant à l’agence du service civique français qui recrute des jeunes de 16 à 25 ans pour le bénévolat, a exposé près de 1,4 million de dossier sur le Web, sans qu’aucun mot de passe, ni aucune authentification soit requise pour y accéder, ont indiqué des chercheurs de Comparitech spécialisés en cybersécurité. 

La base de données comprenait plusieurs centaines de milliers d’informations sur des contrats de volontaires, ainsi que plus d’un million de données personnelles tels que noms, adresses e-mail et mots de passe des utilisateurs qui se sont inscrits sur le site du service civique français. 

L’équipe de recherche en cybersécurité de Comparitech située au Royaume Uni, dirigée par l’expert Bob Diachenko, a découvert le 30 mai 2020, que la base de données était en open source. L’équipe l’a signalé au service civique français le même jour. Après avoir appris l’incident, le service civique français est parvenu a sécuriser le serveur exposé quelques heures plus tard.

les responsables du service civique français ont informé la CNIL et le ministère

Dans un communiqué, le service civique français a déclaré à Comparitech qu’un sous-traitant avait dévoilé la base de données d’anciens volontaires:

L’Agence du Service Civique a été alertée samedi 30 mai à 15h30, qu’une faille de sécurité avait été détectée dans le système d’un de nos sous-traitants et avait permis d’accéder à une base de données personnelle d’anciens volontaires du Service Civique Français. Immédiatement, l’Agence du Service Civique a fait tout ce qui était nécessaire pour retrouver l’origine de la brèche et la sécuriser. L’accès a été bloqué le samedi 30 mai à 19h.

C’était une plate-forme de test, pas notre site Web, sur laquelle l’un de nos sous-traitants avait chargé notre base de données sans un système sécurisé approprié le 25 mai. Notre enquête sur l’historique des accès non autorisés sur cette base de données montre que, à notre connaissance, aucune intrusion malveillante ne s’est produite sur la plateforme. Le rapport d’incident a été transmis à la Commission nationale de l’informatique et des libertés de la CNIL. et le ministère en charge a été informé en permanence de notre enquête. Un audit complet de tous nos systèmes sera lancé. Nous nous engageons à maintenir notre sensibilisation à la cyberprotection.

La base de données a été exposée pendant cinq jours au total

Selon les experts en cybersécurité de Comparitech, la base de données a été exposé en open source durant cinq jours :

25 mai 2020: un sous-traitant travaillant pour le compte de la fonction publique française a déployé la base de données

27 mai 2020: la base de données exposée a été indexée par le moteur de recherche Shodan.io

30 mai 2020: Diachenko a découvert la base de données et a contacté le chercheur en sécurité français Baptiste Robert, qui a aidé à porter l’incident à l’attention du service civique français 

30 mai 2020: les données exposées ont été sécurisées environ trois heures après la divulgation de Diachenko

Bien que le service civique français ait déclaré qu’aucune intrusion malveillante ne s’est produite, les chercheurs indique qu’ils ne sont pas en mesure de confirmer si d’autres parties non autorisées ont accédé aux données.

Quelles données ont été exposées?

Selon les informations de Comparitech, la base de données MongoDB ouverte et non protégée contenait plusieurs ensembles de données, notamment:

  • 373 892 détails sur les bénévoles, y compris les informations du contrat ELISA . ELISA (Extranet local pour l’indemnisation et le suivi de l’accueil des volontaires dans le service civique) est le système utilisé pour autoriser les organisations qui souhaitent embaucher des volontaires par le biais du service civique français et gérer les contrats et les paiements entre ces organisations et leurs volontaires. Les informations contenues dans ces documents comprennent:
    • Noms complets des deux parties
    • Numéros d’identification SIRET
    • Conditions de service volontaire
    • Documents internes et liens
  • Plus d’un million d’enregistrements d’utilisateurs de sites Web, notamment :
    • Adresses mail
    • Noms complets
    • Mots de passe du compte
  • Un répertoire de 1 913 contacts de haut niveau comprenant :
    • Adresses
    • Les numéros de téléphone
    • Adresses mail
Comparitech souhaite alerter les utilisateurs des données personnelles qui ont été exposées

Bien que le service civique français affirme qu’aucune intrusion malveillante n’a été détectée, les chercheurs de Comparitech recommandent fortement aux utilisateurs concernés et aux organisations bénévoles de prendre des mesures pour se protéger au cas où des cybercriminels réussiraient à voler les données exposées.

Les mots de passe divulgués sont les plus inquiétants. Les utilisateurs concernés doivent immédiatement modifier leurs mots de passe de connexion au site Web. En outre, si la même combinaison de mots de passe et de messagerie électronique a été utilisée sur tout autre compte ou service, modifiez-les également pour éviter les attaques de bourrage d’informations d’identification. Alertent les experts.

Toute personne dont les informations de contact ont été révélées doit être à l’affût des courriels d’escroquerie et de phishing provenant de personnes malveillantes se faisant passer pour le service civique français et les organisations connexes.

Enfin Comparitech qu’il travaille avec le chercheur en sécurité Bob Diachenko pour trouver et signaler des cas d’exposition de données personnelles en ligne. 

En trouvant, par exemple, une base de données non sécurisée remplie d’informations sensibles, ils commencent immédiatement à essayer de savoir à qui appartiennent les données qui peuvent être affectées, à quel type d’informations ont été exposées et toutes les ramifications potentielles qui pourraient survenir à la suite de ces données étant du domaine public.

Leur objectif n’est pas de nommer et de faire honte aux organisations pour leurs failles de sécurité. Il s’agit plutôt d’empêcher les gens de devenir victimes de vol d’identité, de campagnes de spear phishing et d’autres attaques malveillantes du fait de la divulgation de leurs données. 

C’est pourquoi, avant de rendre nos résultats publics, nous nous coordonnons d’abord avec les propriétaires de la base de données et nous nous assurons que les données ne soit plus accessibles en ligne.

Merci aux chercheurs de Comparitech de nous prévenir et de nous alerter…

Partagez l'info...

Alexandre LARREY

Curieux et passionné par les questions de géopolitique...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *