Exactis, une entreprise américaine de marketing, perd le contrôle de sa base de données
Les données de 340 millions de personnes divulguées sur Internet

Les divulgations de données personnelles des utilisateurs du net ont acquis un caractère presque viral ces dernières années. Après Equifax et Yahoo, c'est maintenant au tour d'Exactis. Cette entreprise américaine de marketing et de collecte de données vient de perdre le contrôle d'environ 340 millions de dossiers personnels concernant des gens et des entreprises n’ayant même pas conscience de leur présence dans cette base de données.

La fuite a été découverte par le chercheur en sécurité Vinny Troia sur un serveur auquel n’importe qui pouvait accéder. Voulant s’assurer du niveau de sécurité d’ElasticSearch, le chercheur s’est servi de Shodan pour lancer une recherche sur toutes les bases de données ElasticSearch visibles sur tous les serveurs accessibles au public et avec des adresses IP américaines. C’est en consultant les quelque 7000 résultats de sa recherche qu’il trouva la base de données Exactis, laissée sans protection. N’étant pas le premier à avoir eu l’idée de tester ElasticSearch, il avoue qu’il « serait surpris que personne d’autre n’ait eu accès aux données ».

Nom : exactis-1-800x450.jpg
Affichages : 1713
Taille : 39,4 Ko

Malgré le fait que les dossiers divulgués contenaient des informations hautement personnelles, ils ne contenaient pas de numéro de carte de crédit ou de numéro de sécurité sociale. Ils ne pouvaient donc pas être directement utilisés à des fins criminelles, ce qui, en soi, est relativement rassurant. Le chercheur en sécurité a donc notifié sa découverte au FBI et à Exactis. Il affirme que depuis, l’entreprise a sécurisé les données, les rendant impossibles d’accès.

Ce qui retient vraiment l’attention dans cette fuite, plus que la grandeur du nombre de dossiers personnels, c’est le caractère individuel de ces informations. Les données sont collectées sur la base d’un très grand nombre de critères spécifiques. La personne fume-t-elle ? De quelle religion est-elle ? A-t-elle des chiens ou des chats ? C’est le genre d’informations qu’on retrouve aisément dans ces dossiers. Même les centres d’intérêt les plus vagues y sont mentionnés.

« La probabilité d’escroquerie financière n’est pas si grande, mais la possibilité d’usurpation d’identité est clairement présente », nous apprend Marc Rotenberg, directeur exécutif d’Electronic Privacy Information Center qui affirme aussi que même si le manque d’informations financières ou de numéros de sécurité sociale dans la base de données signifie que cette dernière n’est pas un outil direct pour les usurpations d’identité, le caractère individuel des informations personnelles pouvait servir à d’autres formes d’escroqueries sociales. Il précise que même si certaines des informations personnelles divulguées se trouvent aisément dans des registres publics, la majeure partie est le genre d’informations que les courtiers en données obtiennent auprès de sources non publiques.

Marc Rotenberg pense que la fuite Exactis est arrivée à un moment parfait. Pour lui, elle vient souligner la nécessité pour les Etats-Unis de se doter d’une réglementation de confidentialité aussi inclusive de l’utilisateur que le règlement général pour la protection des données, récemment entré en vigueur dans l'Union européenne. Il soutient que si une entreprise doit recueillir les informations personnelles d’un individu, le droit de contrôler leur utilisation ou leur conservation devrait être accordé à celui-ci.

Source : wired

Et vous ?

Que pensez-vous de cette divulgation des données des internautes ?
Comment peut-on éviter qu'un tel scandale se reproduise ?
Quels conseils donneriez-vous aux internautes pour la sécurisation de leurs données personnelles ?

Voir aussi

Yahoo annonce le piratage de plus d'un milliard de comptes dans une autre violation de sécurité datant du mois d'août 2013

Yahoo confirme le piratage de plus d'un demi-milliard de comptes, la société attribue l'attaque à un groupe parrainé par un État

Le piratage massif de données d'Equifax ne lui a coûté pour l'instant que 87,5 millions de dollars, l'entreprise n'a perdu aucun de ses gros clients

Cybersécurité : comment l'attaque contre Equifax en 2017 a-t-elle pu être possible ? Un état des lieux de la cybersécurité après cette attaque