Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des données personnelles appartenant aux abonnés du site Internet du Figaro étaient exposées sur un serveur Elasticsearch,
La base de données concernée contenait environ 7,4 milliards de fichiers

Le , par Axel Lecomte

35PARTAGES

6  0 
Les abonnés du site internet du Figaro sont exposés à un risque de piratage et de fraude. En effet, 8 To de données, contenant des données personnelles d’abonnés et d’inscrits au site ont été accessibles en ligne depuis plusieurs mois, révèle Safety Detective, une entreprise de sécurité informatique, dans un rapport. Pour y accéder, aucun mot de passe n’est requis. Il suffit de connaître l’adresse IP de la base de données.


Base de données hébergée sur un serveur Elasticsearch

La base de données du Figaro est hébergée en France sur un serveur Elasticsearch appartenant à Poney Telecom. Celle-ci contenait « des journaux API pour ses sites Internet Classique et mobile, datant des trois derniers mois », explique Safety Detectives.

« Les journaux API de la base de données contenaient les données des utilisateurs ayant créé un compte d’abonnement sur le site Internet du Figaro entre février et avril 2020, ainsi que les données des utilisateurs préexistants s’étant connectés à leurs comptes pendant cette période », précise le rapport.

Les données personnelles accessibles étaient :
  • les adresses électroniques des abonnés ;
  • leurs noms complets ;
  • leur adresse postale ;
  • les mots de passe des nouveaux utilisateurs (au moins 42 000 entre février et avril 2020) et leur empreinte MD5 ;
  • leur pays de résidence et leur code postal ;
  • les adresses IP ;
  • les « jetons d’accès au serveur interne ».

De plus, les données personnelles appartenant aux journalistes et salariés du Figaro ont également été exposées.

« La base de données compromise contenait également de nombreux journaux techniques exposant les serveurs « back end » du Figaro et potentiellement davantage de données sensibles pouvant être précieuses aux yeux de pirates souhaitant compromettre l’infrastructure de données de l’entreprise », ajoute Safety Detectives.

Une fuite dangereuse

« Les données exposées peuvent être utilisées par des pirates pour usurper l’identité et mener différentes formes de fraude contre ceux dont les données ont fuité. En combinant l’adresse électronique, les données personnelles et d’autres détails appartenant à un utilisateur, des pirates auront amplement la possibilité de commettre des fraudes financières, fiscales, à l’assurance, et bien d’autres », indique le rapport.

De plus, les mots de passe exposés pourraient être utilisés par les pirates pour se connecter aux autres adresses électroniques des utilisateurs, comme Orange, Hotmail, Gmail, iCloud, ceux-ci utilisant généralement le même mot de passe pour plusieurs comptes.

Les adresses électroniques exposées peuvent également être la cible de campagnes d’hameçonnage très efficaces, visant les victimes et leurs contacts, et même l’entreprise.

Bases de données Elasticsearch : mal sécurisées

Des fuites de données impliquant des bases de données Elasticsearch ont déjà été révélées auparavant. En août 2019, 40 Go de données et 134 millions de documents appartenant au constructeur automobile japonais Honda ont été exposés via une base de données Elasticsearch. L’intégralité du plan d’adressage réseau de l’entreprise, tous les postes des employés, y compris celui du CEO, étaient ainsi accessibles. En octobre dernier, les informations de près de 7,5 millions d’utilisateurs d’Adobe Creative Cloud ont été exposées sur Internet via le même type de base de données. Et récemment, en février, des chercheurs ont trouvé une base de données de Decathlon sur un serveur Elasticsearch non sécurisé se trouvant en Espagne. 9 Go de données, comprenant environ 123 millions d’enregistrements sur les clients et les employés de l’entreprise française étaient alors exposées.


Par ailleurs, Poney Telecom souffre aussi d’une mauvaise réputation. En effet, cette société de serveurs Internet dirigée depuis la France est souvent critiquée pour ses pratiques douteuses et contraires à l’éthique en matière d’hébergement. De plus, de nombreuses attaques en ligne provenant de son réseau de serveurs ont déjà été signalées. Toutefois, Poney Telecom reste en activité malgré les poursuites judiciaires dont il fait l’objet depuis quelques années.

Source : Safety Detectives

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Les données personnelles de 7,5 millions d'utilisateurs d'Adobe Creative cloud exposées, via une base de données Elasticsearch non sécurisée
Amazon annonce Open Distro for Elasticsearch, une distribution à valeur ajoutée d'Elasticsearch, qui est 100% open source
Un pirate a supprimé les données et défacé plus de 10 000 serveurs Elasticsearch exposés sur la toile sans MdP, selon Vinny Troia, ces attaques auraient été commises par le groupe The Dark Overlord
108 millions de paris de clients de casinos en ligne exposés via une instance Elasticsearch mal configurée, y compris les détails des utilisateurs
Un serveur du département des valeurs mobilières de l'Oklahoma permettait à quiconque, de télécharger des données gouvernementales confidentielles

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de marsupial
Expert confirmé https://www.developpez.com
Le 30/04/2020 à 18:20
J'en pense que lefigaro.fr va en profiter pour réduire sa facture d'hébergement mais pas changer de fournisseur malheureusement. On pointe Poney telecom mais je pense que ces mauvaises pratiques sont répandues du fait de l'explosion du numérique et donc du manque de personnel qualifié.
4  0 
Avatar de marsupial
Expert confirmé https://www.developpez.com
Le 04/05/2020 à 19:07
Que va en penser la CNIL rapport au RGPD.
4  0 
Avatar de cd090580
Membre actif https://www.developpez.com
Le 04/05/2020 à 22:57
Ils écrivent les logins et les mots de passes dans les logs ??????
3  0 
Avatar de dourouc05
Responsable Qt & Livres https://www.developpez.com
Le 30/04/2020 à 19:15
Les empreintes MD5 des mots de passe ont été révélées, c'est bien ça !? Autant dire que les mots de passe étaient stockés en clair dans leur base de données…
2  0 
Avatar de Exagone313
Nouveau membre du Club https://www.developpez.com
Le 30/04/2020 à 19:12
L'article reprend les erreurs de l'article d'origine qui est une source peu fiable.

Une simple recherche suffit pour trouver que Poney Telecom est le nom donné au réseau de Scaleway (anciennement appelé Online SAS). Et il n'y a aucune source donnée correspondant au manque de fiabilité de cet hébergeur ! On peut critiquer les services d'un hébergeur "low cost" (et je le fais), mais pas sans donner des arguments ou des sources.
1  0 
Avatar de tanaka59
Membre expert https://www.developpez.com
Le 01/05/2020 à 0:40
Bonsoir,

Il y a de quoi paniquer :

1) les users utilisant facebook ou google ou orange pour se connecter au figaro peuvent pleurer car si les mots de passes sont déchiffrés ... ba possibilité d'accéder aux comptes du fai et de faire de la fraude télécom ... carte sim, ouverture intempestive de ligne, fermer une ligne à l'insu du propriétaire légitime ...
2) si des employés du figaro ou d'autres journalistes sont des lanceurs d'alertes ... bah adresse postale en clair ... je vous dis pas le merdier si des autorités étrangères ou des personnes mal intentionnées tombent dessus. Les journalistes devront vivement faire attention à leur fesses et leur proche chez eux !!!
0  0 
Avatar de denisys
Membre éprouvé https://www.developpez.com
Le 01/05/2020 à 13:10
Les médias Français, n’ont plus un indice de confiance favorable, en ce qui concerne les informations qu’ils diffusent .
Si à cela ils ajoutent des couches de déficiences de sécurisation des données utilisateurs.
Ils ne devront pas s’étonner, le jour où ils devront fermer boutique !!!
0  0 
Avatar de tanaka59
Membre expert https://www.developpez.com
Le 05/05/2020 à 19:36
Bonsoir

Que va en penser la CNIL rapport au RGPD.
J'espère une extrême sévérité. Plus forte que Darty par exemple. C'est à la famille Dassault de passer à la caisse.

Citation Envoyé par cd090580 Voir le message
Ils écrivent les logins et les mots de passes dans les logs ??????
Plus rien ne me choque ... Des boites ou je suis déjà passé écrivaient des mdp en clair dans des BDD mysql ou oracle ... en open bar sur le réseau interne de boite . Avec le rgpd la politique a changé et l'arrache ... pour "mise en conformité"
0  0