La fuite, bien qu’importante, n’a duré que 5 jours. Les responsables du site indiquent qu’ils n’ont pas relevé d’intrusion malveillante sur le serveur.

Une gigantesque base de données appartenant au Service civique a fuité. Heureusement, les données n’ont été exposées que 5 jours avant que la faille soit corrigée, et il se pourrait qu’aucun acteur malveillant n’ait mis la main sur la base. Mais puisqu’il est pratiquement impossible de confirmer ce postulat, les victimes de la fuite doivent appliquer le principe de prévention et changer leurs mots de passe.

L’équipe de recherche de Comparitech a découvert la fuite le 30 mai 2020 à 15h30, et a immédiatement contacté les responsables du Service civique. D’après les principaux concernés, la fuite a été colmatée à 19h le même jour. Comparitech précise que la base de données exposée avait été indexée dès le 27 mai sur le moteur de recherche Shodan.io, très prisé des hackers bienveillants comme malveillants.

Image d'erreur

Le site Shodan.io indexe tous les appareils connectés à Internet… dont la base mal sécurisée du Service civique. l // Source : Louise Audry pour Numerama

Dans un communiqué envoyé à l’entreprise de cybersécurité, le Service civique précise que la fuite émane d’un de ses sous-traitants. «  Il s’agissait d’une plateforme de test, et non de notre site, sur laquelle un de nos sous-traitants avait chargé notre base de données sans déployer la sécurité appropriée, le 25 mai. »

À la suite de leur enquête interne, les responsables du site n’ont pas trouvé de trace d’intrusion sur la plateforme. Ils précisent qu’ils ont prévenu l’autorité des données (la Cnil), tandis que le ministère de l’Éducation nationale, ministère de tutelle du dispositif, a été impliqué dans l’enquête. « Un audit complet de notre système va être lancé », ajoute le Service civique.

Les contrats de plus de 370 000 volontaires étaient exposés

La base de données (MongoDB) non protégée contenait plusieurs jeux de données, dont les informations de 373 892 volontaires. Les contrats ELISA, qui encadrent notamment le paiement entre les organisations et les volontaires, étaient accessibles. Dans le détail, ces documents incluent les prénoms et noms du volontaire et de l’employeur, le numéro de Siret de l’entreprise, et des documents internes. Pour 1 913 malchanceux, la base contenait également leur adresse et leur numéro de téléphone.

À côté de ces informations sur les volontaires se trouvent aussi les données de plus d’un million d’utilisateurs du site : email, noms et mots de passe.

Aucune trace d’usage de la base, mais attention

L’entreprise de sécurité rappelle également qu’elle ne dispose pas des informations suffisantes pour confirmer qu’il n’y a eu aucun accès malveillant à la base de données. Elle conseille donc aux utilisateurs du site d’immédiatement changer leur mot de passe. De même, s’il s’agissait d’un mot de passe utilisé sur d’autres comptes, elle incite à en changer. Ces changements pénibles, mais rapides, permettent de prévenir les « credential stuffing attacks », les cyberattaques qui consistent à essayer des combinaisons d’emails et mots de passe fuités sur d’autres services — comme les réseaux sociaux (Facebook, LinkedIn, Twitter) ou les boîtes d’email.

Au vu du détail des informations exposées, les victimes de la fuite doivent aussi porter une attention renforcée aux tentatives de phishing. Comparitech suggère de porter une attention particulière aux emails prétendument envoyés par l’administration. Avec ce genre d’hameçonnage, des hackers malveillants peuvent mettre en place des campagnes d’arnaques, ou s’en servir de porte d’entrée pour des malwares encore plus virulents.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !