Mauvaise journée pour les administrateurs système du journal Le Figaro. L’une de ses bases de données était librement accessible sur Internet, comme vient de révéler Le Monde. Aucun mot de passe n’était requis, il suffisait de connaître l’adresse IP pour se plonger dans les 8 To de données que contenait ce serveur hébergé par Online SAS, une filiale du groupe Iliad. De type Elasticsearch, cette base de données a été détectée par les chercheurs en sécurité de SafetyDetectives, qui ont rapidement alerté le journal après avoir vérifié qu’il en était bien le propriétaire. Depuis, l’accès à ce serveur a été fermé.
Ces 8 To de données contenaient des logs pour les sites du Figaro sur les trois derniers mois. Les chercheurs ayant accédé à cette base vers fin avril, les données qu’ils pouvaient examiner remontaient donc à début février. Le principal problème, c’est qu’elles exposaient les données personnelles des abonnés qui se sont connectés sur le site du Figaro durant cette période : noms complets, adresses électroniques, adresses postales, pays de résidence, adresses IP… Dans le cas d’une nouvelle inscription, le mot de passe figurait en clair dans les logs. Dans le cas d’une connexion d’un abonné existant, on voyait passer l’empreinte MD5 de son mot de passe, ce qui n’est pas beaucoup mieux. En effet, l’algorithme de hachage MD5 est désuet et peut facilement être cassé.
N’ayant pas réalisé d’analyse en profondeur de ces données, SafetyDetectives ne peut pas évaluer le nombre total de personnes affectées par cette fuite. Les chercheurs estiment néanmoins que les logs contenaient les informations d’au moins 42 000 nouveaux utilisateurs qui se sont inscrits entre février et avril 2020. Mais le chiffre peut être nettement supérieur dans la mesure où cette base est en fonction depuis mars 2019.
Bref, ce serveur en accès libre était un petit trésor pour n’importe quel pirate qui veut élaborer des attaques sur les abonnés du Figaro. Avec les identifiants, il pouvait tenter d’accéder à d’autres comptes en ligne comme la messagerie ou les réseaux sociaux. Quant aux données personnelles, elles pouvaient servir à créer des scénarios de phishing. À l’heure actuelle, le Figaro ne s’est pas encore exprimé sur le sujet.
Source : SafetyDetectives, Le Monde