Service civique : fuite de données de 1,4 million d'enregistrements

Le par Jérôme G.  |  9 commentaire(s)
facepalm

Cela fait toujours mauvais genre. Une base de données en rapport avec le service civique en France a été exposée en ligne avec un libre accès.

Avec à sa tête le chercheur en sécurité Bob Diachenko, l'équipe de sécurité de Comparitech a trouvé une base de données MongoDB en lien avec l'Agence du Service Civique qui a été divulguée en ligne avec un accès sur un serveur sans mot de passe ou autre forme d'authentification.

Selon Comparitech, la base de données exposée de 5 Go comprenait les informations de 373 892 volontaires en rapport avec l'application ELISA (application extranet de l'Agence du Service Civique), plus d'un million d'enregistrements d'utilisateurs du site web, ainsi qu'un répertoire avec 1 913 contrats.

Pêle-mêle, des noms complets, adresses email, mots de passe de comptes, adresses postales, numéros de téléphone, documents internes, informations sur des entreprises participantes…

L'équipe de Comparitech a découvert la fuite de données le 30 mai et a prévenu l'Agence du Service Civique le même jour avec l'aide du chercheur en sécurité français Baptiste Robert connu sur Twitter en tant que Elliot Alderson (@fs0c131y).

La base de données avait toutefois été indexée par le moteur de recherche Shodan.io à partir du 27 mai et elle a été déployée par un sous-traitant - qui a manifestement commis une erreur de configuration - le 25 mai.

Après l'alerte, la réaction a été rapide puisque l'accès a été bloqué le jour même de celle-ci. Dans un communiqué transmis à Comparitech, l'Agence du Service Civique souligne le déploiement de la base de données sur une plateforme de test et non son site web.

" Notre enquête sur l'historique des accès non autorisés sur cette base de données montre que, à notre connaissance, aucune intrusion malveillante n'a eu lieu sur la plateforme. " L'incident a été signalé à la Cnil. " Un audit complet de tous nos systèmes sera lancé. "

Un tel incident de sécurité avec l'exposition de bases de données à la suite d'une erreur de configuration est loin d'être le premier du genre...

Vos commentaires

Trier par : date / pertinence
Le #2100576
"MongoDB" le nom de la base de données est... suspect, non ?
Le #2100585
sansimportance a écrit :

"MongoDB" le nom de la base de données est... suspect, non ?


Base de données spécialisée dans l'archivage de documents et Zeus sait combien de documents (inutiles) l'Etat a besoin.


Le problème n'est pas la base de données mais la variable aléatoire qu'on localise entre le clavier et le fauteuil.

Le #2100594
sansimportance a écrit :

"MongoDB" le nom de la base de données est... suspect, non ?


https://www.mongodb.com/fr
Le #2100599
skynet a écrit :

sansimportance a écrit :

"MongoDB" le nom de la base de données est... suspect, non ?


https://www.mongodb.com/fr


Ahhhh ok ok,

moi j'ai pensé "trisomie 21"
Le #2100610
c combien l'amende pour défaut de sécurisation des données ???
Le #2100611
tiseult a écrit :

c combien l'amende pour défaut de sécurisation des données ???


Bah l'état peut s’octroyer une amende qui finira dans les caisses de l'état
Le #2100617
skynet a écrit :

tiseult a écrit :

c combien l'amende pour défaut de sécurisation des données ???


Bah l'état peut s’octroyer une amende qui finira dans les caisses de l'état


Là, il peut se retourner vers le sous-traitant...

Ou au moins, éviter de bosser avec lui...
Le #2100688
tiseult a écrit :

c combien l'amende pour défaut de sécurisation des données ???


Un préavis !
Le #2100789
tiseult a écrit :

c combien l'amende pour défaut de sécurisation des données ???


Alors,les recettes de l'Etat en 2016, environ 300milliards. Donc l'amende s'élève à 4% du chiffre d'affaires, ce qui nous fait approximativement 12 milliards d'euros.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme