Le constructeur de matériel pour le jeu vidéo Razer accuse une fuite de données. Environ 100 000 clients qui ont passé commande sur son site officiel sont concernés. En cause : une base de données laissée sans protection, et donc accessible.

Razer accuse un raté dans sa sécurité : les données de 100 000 clients de son site razer.com ont été laissées pendant au moins trois semaines sans protection. Dans le détail, la fuite contient : le prénom, le nom, l’email, le numéro de téléphone, les numéros de commande, ainsi que les adresses de facturation et de paiement.

Le chercheur réputé Bob Diachenko, qui a découvert la fuite, a alerté Razer le 18 août. Malgré de nombreux échanges avec les équipes du constructeur de matériel pour gamers,  la fuite n’a été réparée que plus de deux semaines plus tard. Si les entreprises sont jugées sur leur capacité à éviter les fuites de données, elles le sont encore plus sur leur capacité à réagir en cas d’incident.

L’incident dont les clients de Razer sont victimes est malheureusement très courant. // Source : Louise Audry pour Numerama

Une expérience menée plus tôt dans l’année sur une base de données ouverte exposait qu’il fallait moins de 9 heures pour qu’une personne la télécharge. Et 11 jours plus tard, plus de 150 personnes y avaient eu accès. Autant dire que le délai de réaction de Razer est trop important pour que l’entreprise puisse garantir que les données n’ont pas fuité. Et encore, c’est sans compter que lorsque Bob Diachenko a découvert la base de données, elle était peut-être exposée depuis plus longtemps. Dans un communiqué relayé par Diachenko, Razer remercie le chercheur et précise «  qu’aucune autre donnée sensible comme les numéros de carte de crédit ou les mots de passe n’ont été exposées.  »

Si vous avez récemment commandé sur Razer, le chercheur rappelle qu’il vous faut redoubler de vigilance face aux messages que vous recevez. Des cybercriminels pourraient vous envoyer des emails de phishing sur votre email ou des SMS sur votre téléphone en utilisant les informations contenues dans la faille. Par exemple, ils peuvent savoir que vous avez commandé un clavier, et prétendre vous offrir un casque ou une souris. Leur objectif : dérober d’autres informations (comme vos données bancaires), ou vous faire installer un malware.

De son côté Razer met en avant une adresse de contact (américaine) pour les clients qui se poserait des questions. Dans un communiqué envoyé à Cyberguerre, l’entreprise écrit : «  Nous nous excusons pour le laps de temps et nous avons pris toutes les mesures nécessaires pour réparer le problème, tout en conduisant une revue de notre sécurité informatique et de nos systèmes. Nous continuons à nous engager à respecter la sécurité numérique de tous nos clients. Les clients qui ont des questions peuvent nous contacter à DPO@razer.com. »

L’erreur de Razer est malheureusement commune

Plus précisément, la fuite est causée par la mauvaise configuration d’un serveur Elasticsearch de Razer. Sorte de tableur Excel géant, cette technologie permet d’analyser et d’organiser d’importantes bases de donnés avec une grande efficacité. Seulement, sa sécurisation s’avère difficile à paramétrer, malgré les efforts des développeurs d’Elastic pour la rendre plus accessible.

Quand l’ElasticSearch est mal configuré, n’importe qui peut accéder à la base de donnée sans mot de passe, depuis un navigateur web, à condition d’avoir son adresse IP. C’est le cas de celle Razer, et cela signifie que n’importe qui peut la télécharger, la modifier ou la supprimer. Au bout d’une certaine durée d’exposition, elle finit par être indexée par des moteurs de recherches comme Shodan.

Ce problème de sécurité est tellement répandu que certains chercheurs comme Bob Diachenko se sont spécialisés dans leur traque. Le fautif est toujours le même : le port 9200 du serveur, l’expert sait donc où chercher.

Au moins, ces fuites sont faciles à réparer : quelques heures suffisent à mettre en place des identifiants pour se connecter à la base de données. Ce qui n’empêche pas des organisations comme Microsoft, le Service civique, des forums de BDSM et bien d’autres de ne pas voir la fuite.

Crédit photo de la une : CCO/Stocksnap de Pixabay

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux