Vous aimez nos contenus ?
Recevez chaque jour nos dernières publications gratuitement et directement dans votre boite mail
Actualité
Les données d’un million d’utilisateurs du site Service civique fuitent
publié le 3 juin 2020 à 16h00, modifié le 3 juin 2020 à 17h33.
Les fuites de données sont malheureusement monnaie courante. Se retrouvent alors dans la nature des données plus ou moins sensibles. Aujourd'hui, c'est une base du site du gouvernement Service Civique qui fait parler d'elle.
Une gigantesque base de données du site Service Civique a fuité. Fort heureusement, les données ne sont restées exposées « que » 5 jours avant que la faille ne soit comblée et aucun pirate ne semble avoir récupéré ladite base. Les mesures de précaution s’imposent, comme à l’accoutumée, pour les utilisateurs du site : changement de mot de passe.
Une base de données du site Service civique en fuite
C’est l’équipe de recherche de Comparitech qui a découvert la fuite le 30 mai 2020 et contacté sans attendre les responsables du site Service civique. Celle-ci aurait été réparée quelques heures plus tard, à 19h. Selon Comparitech, la base de données avait été indexée le 27 mai sur le moteur de recherche Shodan.io, l’une des sources de prédilection des hackers bienveillants et malveillants. Le site Service civique précisait rapidement qu’il s’agissait « d’une plateforme de test, et non de notre site, sur laquelle un de nos sous-traitants avait chargé notre base de données sans déployer la sécurité appropriée, le 25 mai. » Aucune trace d’intrusion sur la plate-forme de production n’a été trouvée, la CNIL a été prévenue et un « audit complet de notre système va être lancé ».
Des données de plus d’un million d’utilisateurs étaient accessibles
La base de données contenait notamment les informations de 373 892 volontaires et les contrats ELISA qui encadrent les paiements. Noms et prénoms des volontaires et de l’employeur, numéro de Siret de l’entreprise et un certain nombre de documents internes étaient accessibles. 1 913 utilisateurs avaient même leurs adresse et numéro de téléphone. Outre ces données, ce sont les emails, noms et mots de passe de plus d’un million d’utilisateurs du site qui étaient répertoriés.
Si aucune preuve ne vient affirmer qu’il y ait eu accès malveillant à la base de données, les utilisateurs du site devraient immédiatement changer leur mot de passe. A fortiori si ce mot de passe est partagé sur d’autres sites. Gare aussi aux éventuelles tentatives futures de phishing qui devraient s’intensifier pour les utilisateurs concernés.