Une base de données MongoDB, hébergée sur un serveur non protégé, a provoqué la fuite de 1,4 million de dossiers d'utilisateurs, dont ceux de jeunes bénévoles.
La nouvelle faille de sécurité révélée par Comparitech, le cabinet de recherche en sécurité dirigé par le célèbre Bob Diachenko, risque de faire grand bruit. Le spécialiste de la cybersécurité a découvert qu'une base de données comprenant 5 Go d'informations personnelles liées au service civique français a fuité sur le Web. 1,4 million d'enregistrements ont été exposés.
Des mots de passe bénévoles compromis
Comparitech nous indique que la base de données compromise contenait plusieurs centaines de milliers de détails sur les contrats des bénévoles du programme, qui vit sous l'égide de l'Agence du service civique, le groupement d'intérêt public qui permet à des jeunes âgés de 16 à 25 ans de prendre part à des missions permettant de favoriser la mixité sociale et de renforcer la cohésion nationale. Les données personnelles des volontaires ont été exposées.
La base de données MongoDB, qui était ouverte et non protégée, contenait 373 892 données sur les bénévoles, comme « les informations du contrat ELISA (Extranet local pour l'indemnisation et le suivi de l'accueil des volontaires dans le service civique) », détaille Comparitech. Le système ELISA permet aux organisations qui veulent recruter des volontaires au travers du service civique de recevoir l'autorisation de gérer les contrats et paiements entre elles et les bénévoles. On y retrouve des informations comme les noms des deux parties, les numéros SIRET, les conditions de service volontaire ou d'autres documents internes.
Plus grave maintenant, de nombreux mots de passe font partie du million d'enregistrements d'utilisateurs exposés au même titre que les adresses électroniques et les noms complets, ce qui est plus que suffisant pour que les volontaires deviennent des cibles pour les cybercriminels. La base de données comportait également un répertoire de 1 913 contacts dans lequel on pouvait retrouver leur adresse postale, leur mail et leur numéro de téléphone.
La base de données avait été indexée par un moteur de recherche
L'équipe de recherche de Bob Diachenko indique avoir découvert la base de données le 30 mai et l'avoir signalée le même jour au service civique français. Quelques heures plus tard, le serveur auparavant exposé était sécurisé. La base de données était hébergée chez un sous-traitant travaillant pour le compte de la fonction publique française. Elle avait été indexée quelques jours plus tôt, le 27 mai, par le moteur de recherche Shodan.io.
Si le service civique français affirme n'avoir relevé aucune intrusion malveillante, cela n'occulte pas complètement la possibilité que d'autres parties illégitimes puissent avoir eu accès à la base de données.
Pour se prémunir de toute conséquence néfaste, Comparitech invite l'ensemble des utilisateurs de l'espace service-civique.gouv.fr à procéder rapidement à la modification de leur mot de passe de connexion. « Toute personne dont les informations de contact ont été révélées doit être à l'affût des courriels d'escroquerie et de phishing de criminels se faisant passer pour le service civique français et les organisations connexes », prévient l'entreprise de cybersécurité.
Source : Comparitech