À la suite d'une mise à jour ratée, les données des créateurs de cagnotte Leetchi étaient accessibles depuis la page de la cagnotte. La faille a été réparée le 20 avril, et l'entreprise prévient progressivement les personnes concernées.

Depuis la fin avril, l’entreprise française de cagnottes en ligne Leetchi prévient une partie de ses 14 millions d’utilisateurs qu’une «  erreur technique » avait entrainé une fuite de leurs données personnelles.

Les prénom, nom, date de naissance, email ainsi que des coordonnées GPS des créateurs de cagnottes ont été exposés en clair dans le code source de la page spécifique à leur cagnotte. Pour mettre la main sur les données, il fallait donc avoir accès à cette page précise.

Pour les nombreuses cagnottes publiques, il suffit d’utiliser le moteur de recherche du site. Mais l’accès devient plus compliqué pour les cagnottes privées, qui ne sont pas indexées sur les moteurs de recherche et dont le lien n’est envoyé en théorie qu’aux participants.

Les cagnottes validées manuellement pendant quelques jours

Leetchi a découvert l’erreur le 16 avril, et l’a réparée le 20 avril. Elle craignait que certains comptes soient compromis : « par mesure de précaution, toutes les dépenses de cagnottes avaient été bloquées dès la découverte de la faille et les mesures de vérifications ont été renforcées. Les demandes de dépenses sont validées manuellement au cas par cas après vérification par les équipes de lutte contre la fraude de Leetchi », précise l’entreprise, contactée par Numerama.

Les délais de remise des cagnottes ont donc pris du retard par rapport au rythme habituel, mais aucune dépense frauduleuse de cagnotte n’a été détectée. L’entreprise ajoute que les fonds collectés, les données bancaires et les mots de passe ne sont pas concernés par la fuite.

Nous ne connaissons pour l’instant pas l’ampleur de la fuite de données. // Source : Louise Audry pour Numerama

Le géant français des cagnottes a suivi le processus légal encadré par le Règlement général sur la protection des données : il a ouvert un dossier auprès de la Cnil (l’autorité française sur la gestion des données), puis a averti les personnes concernées, comme prévu dans le texte.

Une nouvelle disposition du bouton « Je participe » a compromis la sécurité des pages

Leetchi nous a apporté des informations supplémentaires sur l’origine de la fuite : «  Cette faille dans le code source des cagnottes Leetchi est liée à l’ajout d’une nouvelle fonctionnalité permettant de rendre les boutons « Je participe » et « Partager » toujours présents en bas de l’écran sur la page de la cagnotte en version mobile. La création de cette nouvelle fonctionnalité coïncide avec un changement de technologie de rendu de page ».

Ce genre de situation est relativement commune : les développeurs déploient une nouvelle fonctionnalité sur leur site, ce qui change plusieurs paramètres — dont ceux liés à sa sécurité — mais ils oublient de vérifier immédiatement chacun d’entre eux.

Tous les créateurs de cagnottes ont été exposés

La gravité de la fuite dépendra en grande partie de la capacité de l’entreprise à la repérer et à la réparer rapidement, avant que des personnes malveillantes puissent mettre la main dessus. Il existe pour cela toutes sortes d’outils de détection automatique.

Puisqu’elle a identifié l’origine du problème, Leetchi devrait pouvoir estimer la durée pendant laquelle la faille était ouverte. Numerama leur a demandé cette estimation, ainsi que le nombre de personnes concernées. Parmi nos témoins, certaines personnes avaient créé leur dernière cagnotte Leetchi en 2016 et tous les créateurs de cagnotte ont semble-t-il été exposés.

Un cocktail de données explosif, mais pas de données bancaires

Email, identité et coordonnées GPS ont donc fuité : entre de mauvaises mains, il s’agit d’un cocktail de données explosif. Il permettrait par exemple de mieux cibler certaines attaques basiques, comme le phishing. Les éventuels hackers connaîtraient aussi le nom de la cagnotte, ce qui peut être une information de valeur en plus, notamment pour des arnaques financières.

L’email est une partie de votre identité en ligne, qui permet de relier toutes sortes d’informations (centres d’intérêts, fréquentations, activités…) à votre personne. Par exemple, il suffit de chercher si votre adresse email se trouve dans de grandes fuites de données comme celles de LinkedIn ou de Facebook pour trouver toute une liste de données sur vous. Les emails sont donc particulièrement recherchés, en grand volume, sur les marchés noirs. Ils sont également la matière première des campagnes de phishing, un genre de cyberattaque  qui se suffit à lui-même, mais sert aussi de porte d’entrée à des attaques plus virulentes.

Le point d’interrogation autour des données GPS

En plus de l’identité et de l’email, l’entreprise indique aussi que des coordonnées GPS ont fuité. Selon leur volume et leur qualité, elles peuvent permettre de trouver l’adresse et le lieu de travail de la victime, voir ces déplacements. Nous avons donc demandé à Leetchi de préciser quelles données GPS elle collecte, et nous attendons leur réponse.

L’entreprise ne nous a pas encore précisé si elle avait détecté une activité suspecte autour de la fuite.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux