Avec à sa tête le chercheur en sécurité Bob Diachenko, l'équipe de sécurité de Comparitech a trouvé une base de données MongoDB en lien avec l'Agence du Service Civique qui a été divulguée en ligne avec un accès sur un serveur sans mot de passe ou autre forme d'authentification.

Selon Comparitech, la base de données exposée de 5 Go comprenait les informations de 373 892 volontaires en rapport avec l'application ELISA (application extranet de l'Agence du Service Civique), plus d'un million d'enregistrements d'utilisateurs du site web, ainsi qu'un répertoire avec 1 913 contrats.

Pêle-mêle, des noms complets, adresses email, mots de passe de comptes, adresses postales, numéros de téléphone, documents internes, informations sur des entreprises participantes…

L'équipe de Comparitech a découvert la fuite de données le 30 mai et a prévenu l'Agence du Service Civique le même jour avec l'aide du chercheur en sécurité français Baptiste Robert connu sur Twitter en tant que Elliot Alderson (@fs0c131y).

La base de données avait toutefois été indexée par le moteur de recherche Shodan.io à partir du 27 mai et elle a été déployée par un sous-traitant - qui a manifestement commis une erreur de configuration - le 25 mai.

Après l'alerte, la réaction a été rapide puisque l'accès a été bloqué le jour même de celle-ci. Dans un communiqué transmis à Comparitech, l'Agence du Service Civique souligne le déploiement de la base de données sur une plateforme de test et non son site web.

" Notre enquête sur l'historique des accès non autorisés sur cette base de données montre que, à notre connaissance, aucune intrusion malveillante n'a eu lieu sur la plateforme. " L'incident a été signalé à la Cnil. " Un audit complet de tous nos systèmes sera lancé. "

Un tel incident de sécurité avec l'exposition de bases de données à la suite d'une erreur de configuration est loin d'être le premier du genre...