Cyberguerre a été averti d'une gigantesque fuite, qui contenait plus de 8 millions de lignes de données personnelles. Elles étaient conservées sur un serveur de KG Com, une entreprise française éditrice de plusieurs sites de voyance, qui n'était pas correctement protégé. Il a ainsi exposé les prénoms, les dates de naissance, les adresses email et les numéros de téléphone de millions de Françaises et Français.

Plus de 8 millions de lignes de données, 8 029 630, pour être précis, accessible sans aucun identifiant. Début juillet 2020, une source prévient Cyberguerre, le média de Numerama dédié à la cybersécurité, de l’existence d’une fuite de données personnelles très importante, jamais reportée jusqu’ici. Elle provient d’un serveur mal sécurisé de KG Com, une entreprise de la banlieue lyonnaise, éditrice de plusieurs sites de consultation de voyance en ligne, par tchat ou téléphone.

À chaque ligne de la base de données se trouvent le prénom, l’adresse email, le numéro de téléphone et la date de naissance d’une personne, ainsi que le nom d’un des sites de KG Com. Son navire mère, myastro.fr, y est le plus mentionné.

Quand Cyberguerre a pu consulter la fuite de plus près, un constat saute aux yeux : les victimes sont en large majorité des femmes, entre 40 et 60 ans.

KG Com édite plusieurs sites de voyance, dont Myastro. L’entreprise a réalisé plus de 4 millions d’euros de chiffre d’affaires en 2018. // Source : Montage Numerama

L’entreprise, prévenue de la fuite par notre source dans plusieurs emails que nous avons pu consulter, n’a pas réagi. Résultat, lorsque nous avons eu accès à l’adresse du serveur plusieurs semaines plus tard, la fuite n’était toujours pas réparée. Peu après, les données ont même été supprimées de la base. Au final, le serveur, complètement vidé de sa substance, a été mis hors ligne le 23 juillet 2020.

Contacté par Cyberguerre, le dirigeant de l’entreprise Steeve Rosilio a expliqué qu’il n’était pas au courant de cette fuite. Mais après une rapide enquête interne, son développeur a identifié le problème. Dans un email, il nous précise :  « Nous constatons que le problème vient directement de notre hébergeur, qui aurait dû sécuriser cette partie. Nous n’avons pas la main de notre côté pour configurer le firewall [le logiciel chargé de protéger le serveur, ndlr] et [notre hébergeur] sont les seuls à pouvoir le faire. Il s’agit donc d’un problème de leur fait, dont nous n’avions même pas connaissance avant d’être contactés à ce sujet. »

À ce stade l’enquête, KG Com affirme que le serveur était encore sécurisé le 6 mai, et explique l’avoir fermé le 10 juillet.

De quoi attirer la convoitise des malfaiteurs

Pour l’instant, il est impossible de statuer avec certitude si des malfaiteurs se sont emparés des données. Mais au moins une personne (ou un robot), celle qui a effacé les données, y a eu accès. De manière générale, ceux qui cherchent à obtenir les bases de données laissées sans protection mettent rarement plus de quelques jours à parvenir à leurs fins.

Entre de mauvaises mains, la base de données de KG Com permettrait d’armer des opérations cybermalveillantes. Et pour cause : elle contient deux moyens (téléphone et email) de contacter chaque personne, en plus d’indiquer leur identité (les adresses email prennent très souvent le format « prénom.nom ») et leur âge. De quoi facilement lancer des campagnes de phishing par email, ou des arnaques téléphoniques par exemple. Ce n’est pas tout : la présence des données d’une personne dans la base suggère son intérêt pour l’astrologie, et la voyance en général. Les malfaiteurs pourraient jouer sur cet intérêt pour créer des arnaques sur mesure à destination des 8 millions de personnes.

Cerise sur le gâteau, la base offre un large volume de données, ce qui permettrait de lancer des opérations de grande échelle, plus susceptibles de rapporter un gain aux malfaiteurs, tout en requérant un effort moindre à mettre en place.

Une fuite béante et facile d’accès

Malgré la valeur de ces données, elles n’ont pas correctement été protégées. Pourtant, le problème à l’origine de la fuite est commun, et connu de tout spécialiste. Le port 9200 d’un serveur Elasticsearch était ouvert. Derrière ces quelques mots techniques, il y a un constat simple : les données étaient accessibles sans protection, pas même un mot de passe, à quiconque avait l’adresse IP du serveur (une suite de chiffres séparés par des points).

Elasticsearch est une technologie peu chère à mettre en place et à utiliser, qui permet d’organiser et de manipuler de gigantesques volumes de données, comme les 8 millions de lignes de KG Com. À la manière de Microsoft Excel, elle s’est imposée dans les usages des entreprises qui souhaitent faire de la « big data » et optimiser l’utilisation de leurs données clients. Réputée pour son efficacité, Elasticsearch est aussi connue pour être mal paramétrée par ses utilisateurs, ce qui mène à ce genre de fuite comme nous l’avions détaillé dans une précédente enquête.

Pas besoin de forcer le verrou, la porte est ouverte

Concrètement, lorsqu’un individu va tenter d’infiltrer le système d’une entreprise à distance, il va commencer par diagnostiquer ses défenses, et notamment scanner les ports des serveurs. Comme ce sont systématiquement les mêmes ports, dont ce fameux port 9200, qui sont mal protégés, il va commencer par regarder de ce côté. Si l’entreprise a laissé le port ouvert, l’intrus n’a pratiquement aucun effort à faire pour accéder aux données. Pas besoin de forcer ou crocheter un verrou, la porte est ouverte. Il pourra consulter la base de données, la télécharger, la modifier ou même la supprimer.

Pire, si le port reste ouvert trop longtemps, il finit par être indexé par les robots de certains moteurs de recherche, comme Shodan. Et ainsi, le risque que des personnes identifient la fuite augmente drastiquement : il suffit d’envoyer la bonne requête au moteur de recherche pour la trouver.

Des clients attirés par des services gratuits de façade

Reste une question : comment KG Com a-t-il obtenu ces données ? Le serveur présente trois index : « clients », « prospects » et « rdv ». Chacun d’entre eux contient respectivement 1,8 million, 5,5 millions et 550 000 lignes de données. La mention « prod » adossée aux noms des index laisse entendre que le serveur qui les stockait était en production — c’est-à-dire utilisé pour le fonctionnement de l’entreprise — au moment où notre source nous a prévenus.

Voici l’écran sur lequel pouvait tomber n’importe qui ayant l’adresse du serveur. // Source : Numerama

Pour comprendre à quoi pourrait correspondre chaque index, il faut s’intéresser au fonctionnement des sites de KG Com, à commencer par Myastro.  « Myastro vous permet de consulter un horoscope fiable de manière gratuite », annonce fièrement le site, qui met en avant son « horoscope gratuit », sa « voyance gratuite » ou encore la variante « voyance sans CB ».

Cette promesse de gratuité n’est qu’une façade. Certes, le site donne accès à de petits outils, dont un « tarot de l’amour », qui vous annoncera votre état sentimental sur la semaine à venir à partir de 5 cartes, de votre prénom et de votre signe astrologique.

Mais très vite, la majorité des services proposés par le site requièrent de s’inscrire, et donc de remplir un formulaire mis en avant sur chaque page du site : prénom, genre, date de naissance, pays, email et numéro de téléphone vous seront demandés. Une fois cette étape passée, le site vous proposera d’essayer 5 minutes de voyance gratuite par tchat, ou bien de vous faire rappeler par téléphone par un de ses « voyants ».

Sur My Astro, vous pouvez tchatter avec le voyant de votre choix. Nous avons choisi le « voyant pur » Arsène, qui, comme ses « collègues », a une photo tirée d’une banque d’image. // Source : Capture d’écran Numerama

Nous avons donc demandé à « Arsène », un des « voyants purs » du site — dont nous avons retrouvé la photo dans une banque d’image en deux clics — notre avenir professionnel. En 5 minutes, notre interlocuteur nous a envoyé cinq messages, et aucune prédiction.  Pour continuer la discussion, il fallait sortir la carte bancaire, et payer 19,90 euros les 10 minutes de tchat supplémentaire. Tant pis pour la lecture de notre destinée.

Une prospection agressive pour des consultations

Pour trouver des clients, l’entreprise de voyance ne se contente pas de patiemment d’attendre qu’ils s’inscrivent sur son site, elle fait également de la prospection, par email et par téléphone. Sur de nombreux forums, les témoignages s’accumulent, mais leurs autrices se montrent réticentes à en parler, expliquant que raconter leur expérience ferait remonter un souvenir douloureux.

Certaines acceptent tout de même, sous couvert d’anonymat, comme Isabelle*, une cliente régulière d’autres services de voyance : « Je ne connaissais pas Myastro. Ils m’ont contacté par email en m’offrant une voyance gratuite de 10 minutes. J’ai donné mon numéro de téléphone et ils m’ont rapidement appelé. Dès le début de la conversation, ils ont demandé le numéro de ma carte de crédit, la date d’expiration et le numéro CCV, soi-disant pour sécuriser la ligne avec un paiement de 10 centimes. »

  • Vous avez été contacté(e) par Myastro ou un autre service de voyance en ligne et vous souhaitez témoigner ? Écrivez-nous à françois.manens[at]humanoid.fr

Cassandra*, elle, nous explique qu’elle n’avait jamais consulté de voyante lorsque l’entreprise l’a appelée directement, et lui a également demandé ses informations bancaires. « J’étais très fragile psychologiquement », avance-t-elle d’entrée. « J’ai fait l’erreur de leur faire confiance, et je leur ai donné plusieurs informations, dont mes données bancaires », regrette-t-elle.

Comment est-ce que Myastro a pu obtenir les données personnelles de ces femmes ? Difficile de l’affirmer avec certitude, mais il est probable qu’il ait acheté des fichiers clients à des entreprises tierces. C’est un problème : certaines personnes pourraient voir leurs données personnelles être consignées dans la fuite de données, sans jamais avoir eu affaire avec Myastro. Interrogé, le dirigeant de l’entreprise nous explique qu’il suit des « règles strictes » et que tous ses partenariats sont vérifiés par un spécialiste pour être en conformes avec le règlement général sur la protection des données (RGPD). Il a également ajouté : « Je n’’ai jamais vendu mes données ».

Amour, travail, chaque jour, nous recevons plusieurs emails de démarchage dans notre boîte. // Source : Numerama

De notre côté, depuis que nous avons donné notre adresse email à Myastro, nous recevons jusqu’à 7 fois par jour des emails de démarchage pour des consultations de voyance, en provenance d’autres sites…

KG Com doit répondre à des obligations sur les fuites de données

Quoiqu’il en soit, la loi prévoit les dispositions que toute entreprise doit appliquer en cas de fuite de données personnelles, notamment dans le règlement général sur la protection des données, le fameux RGPD.

Si la fuite peut porter préjudice aux personnes exposées, l’entreprise est contrainte de notifier l’autorité régulatrice des données, la Cnil. « Ici une personne peut ne pas vouloir que ses collègues sachent qu’elle croit à l’astrologie. Il pourrait donc y avoir un préjudice d’image », estime Sonia Cissé, avocate spécialisée en technologie et vie privée chez Linklaters. « Compte tenu des chiffres de cette fuite, il doit clairement y avoir une notification. »

Si KG Com indique que la fuite est due à une erreur de son prestataire, ce n’est pas une circonstance atténuante, précise la juriste : « Dans cette relation, l’entreprise est responsable de traitement, et l’hébergeur est sous-traitant : les deux ont une responsabilité. Même si le responsable de traitement dit que la fuite n’est pas de sa faute, la conformité de la gestion de la fuite repose sur ses épaules. De son côté, le sous-traitant a obligation de notifier les responsables de traitement pour leur permettre de respecter la loi. »

72 heures pour notifier l’autorité des données

La loi se montre exigeante : la notification à la Cnil doit avoir lieu dans les 72 heures après que l’entreprise a pris connaissance de la fuite. Mais la justice s’avère compréhensive sur la définition de la « prise de connaissance ». « Les organisations ont le temps de mener une courte enquête pour voir ce qu’il s’est passé et préciser quels types de données sont touchés  », clarifie la juriste. Ensuite, si le risque représenté par la fuite est considéré comme « élevé » pour les victimes, l’entreprise doit communiquer, c’est-à-dire prévenir chaque personne concernée individuellement. Et cela, dans les 72 heures après la communication à la Cnil.

Après cette première phase se pose la question d’une éventuelle amende : le premier palier du RGPD prévoit une sanction à hauteur du montant le plus élevé entre 10 millions d’euros ou 2 % du chiffre d’affaires mondial du groupe. Avec certains critères aggravants, comme la récupération de données personnelles sans le consentement des personnes, cette amende peut attendre un deuxième palier, de 20 millions d’euros ou 4 % du chiffre d’affaires mondial du groupe.

Partager sur les réseaux sociaux