Les données d’un million d’utilisateurs du site Service civique fuitent

Les fuites de données sont malheureusement monnaie courante. Se retrouvent alors dans la nature des données plus ou moins sensibles. Aujourd'hui, c'est une base du site du gouvernement Service Civique qui fait parler d'elle.

Une gigantesque base de données du site Service Civique a fuité. Fort heureusement, les données ne sont restées exposées « que » 5 jours avant que la faille ne soit comblée et aucun pirate ne semble avoir récupéré ladite base. Les mesures de précaution s’imposent, comme à l’accoutumée, pour les utilisateurs du site : changement de mot de passe.

Une base de données du site Service civique en fuite

C’est l’équipe de recherche de Comparitech qui a découvert la fuite le 30 mai 2020 et contacté sans attendre les responsables du site Service civique. Celle-ci aurait été réparée quelques heures plus tard, à 19h. Selon Comparitech, la base de données avait été indexée le 27 mai sur le moteur de recherche Shodan.io, l’une des sources de prédilection des hackers bienveillants et malveillants. Le site Service civique précisait rapidement qu’il s’agissait « d’une plateforme de test, et non de notre site, sur laquelle un de nos sous-traitants avait chargé notre base de données sans déployer la sécurité appropriée, le 25 mai. » Aucune trace d’intrusion sur la plate-forme de production n’a été trouvée, la CNIL a été prévenue et un « audit complet de notre système va être lancé ».

Des données de plus d’un million d’utilisateurs étaient accessibles

La base de données contenait notamment les informations de 373 892 volontaires et les contrats ELISA qui encadrent les paiements. Noms et prénoms des volontaires et de l’employeur, numéro de Siret de l’entreprise et un certain nombre de documents internes étaient accessibles. 1 913 utilisateurs avaient même leurs adresse et numéro de téléphone. Outre ces données, ce sont les emails, noms et mots de passe de plus d’un million d’utilisateurs du site qui étaient répertoriés.

Si aucune preuve ne vient affirmer qu’il y ait eu accès malveillant à la base de données, les utilisateurs du site devraient immédiatement changer leur mot de passe. A fortiori si ce mot de passe est partagé sur d’autres sites. Gare aussi aux éventuelles tentatives futures de phishing qui devraient s’intensifier pour les utilisateurs concernés.

Morgan

Éditeur·rice

Tous ses articles →
Une erreur dans cet article ?

Nous apportons le plus grand soin à chaque article et nous appuyons sur des sources fiables. Personne n'est à l'abri d'une erreur : si vous en repérez une, signalez-la, nous la corrigerons au plus vite.

Lisez Directs.fr en priorité sur Google

Ajoutez-nous à vos sources préférées : nos articles remonteront plus haut dans votre actualité.

Ajouter à mes sources