IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Le Figaro : "une erreur de configuration d'un serveur Elasticsearch a conduit à la fuite de 8 To de données"


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Journaliste
    Inscrit en
    Janvier 2020
    Messages
    196
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Journaliste
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Janvier 2020
    Messages : 196
    Points : 13 695
    Points
    13 695
    Par défaut Le Figaro : "une erreur de configuration d'un serveur Elasticsearch a conduit à la fuite de 8 To de données"
    Des données personnelles appartenant aux abonnés du site Internet du Figaro étaient exposées sur un serveur Elasticsearch,
    la base de données concernée contenait environ 7,4 milliards de fichiers

    Les abonnés du site internet du Figaro sont exposés à un risque de piratage et de fraude. En effet, 8 To de données, contenant des données personnelles d’abonnés et d’inscrits au site ont été accessibles en ligne depuis plusieurs mois, révèle Safety Detective, une entreprise de sécurité informatique, dans un rapport. Pour y accéder, aucun mot de passe n’est requis. Il suffit de connaître l’adresse IP de la base de données.

    Nom : Lefigaro.PNG
Affichages : 11703
Taille : 13,3 Ko

    Base de données hébergée sur un serveur Elasticsearch

    La base de données du Figaro est hébergée en France sur un serveur Elasticsearch appartenant à Poney Telecom. Celle-ci contenait « des journaux API pour ses sites Internet Classique et mobile, datant des trois derniers mois », explique Safety Detectives.

    « Les journaux API de la base de données contenaient les données des utilisateurs ayant créé un compte d’abonnement sur le site Internet du Figaro entre février et avril 2020, ainsi que les données des utilisateurs préexistants s’étant connectés à leurs comptes pendant cette période », précise le rapport.

    Les données personnelles accessibles étaient :
    • les adresses électroniques des abonnés ;
    • leurs noms complets ;
    • leur adresse postale ;
    • les mots de passe des nouveaux utilisateurs (au moins 42 000 entre février et avril 2020) et leur empreinte MD5 ;
    • leur pays de résidence et leur code postal ;
    • les adresses IP ;
    • les « jetons d’accès au serveur interne ».

    De plus, les données personnelles appartenant aux journalistes et salariés du Figaro ont également été exposées.

    « La base de données compromise contenait également de nombreux journaux techniques exposant les serveurs « back end » du Figaro et potentiellement davantage de données sensibles pouvant être précieuses aux yeux de pirates souhaitant compromettre l’infrastructure de données de l’entreprise », ajoute Safety Detectives.

    Une fuite dangereuse

    « Les données exposées peuvent être utilisées par des pirates pour usurper l’identité et mener différentes formes de fraude contre ceux dont les données ont fuité. En combinant l’adresse électronique, les données personnelles et d’autres détails appartenant à un utilisateur, des pirates auront amplement la possibilité de commettre des fraudes financières, fiscales, à l’assurance, et bien d’autres », indique le rapport.

    De plus, les mots de passe exposés pourraient être utilisés par les pirates pour se connecter aux autres adresses électroniques des utilisateurs, comme Orange, Hotmail, Gmail, iCloud, ceux-ci utilisant généralement le même mot de passe pour plusieurs comptes.

    Les adresses électroniques exposées peuvent également être la cible de campagnes d’hameçonnage très efficaces, visant les victimes et leurs contacts, et même l’entreprise.

    Bases de données Elasticsearch : mal sécurisées

    Des fuites de données impliquant des bases de données Elasticsearch ont déjà été révélées auparavant. En août 2019, 40 Go de données et 134 millions de documents appartenant au constructeur automobile japonais Honda ont été exposés via une base de données Elasticsearch. L’intégralité du plan d’adressage réseau de l’entreprise, tous les postes des employés, y compris celui du CEO, étaient ainsi accessibles. En octobre dernier, les informations de près de 7,5 millions d’utilisateurs d’Adobe Creative Cloud ont été exposées sur Internet via le même type de base de données. Et récemment, en février, des chercheurs ont trouvé une base de données de Decathlon sur un serveur Elasticsearch non sécurisé se trouvant en Espagne. 9 Go de données, comprenant environ 123 millions d’enregistrements sur les clients et les employés de l’entreprise française étaient alors exposées.

    Nom : elasticsearch.PNG
Affichages : 3391
Taille : 9,6 Ko

    Par ailleurs, Poney Telecom souffre aussi d’une mauvaise réputation. En effet, cette société de serveurs Internet dirigée depuis la France est souvent critiquée pour ses pratiques douteuses et contraires à l’éthique en matière d’hébergement. De plus, de nombreuses attaques en ligne provenant de son réseau de serveurs ont déjà été signalées. Toutefois, Poney Telecom reste en activité malgré les poursuites judiciaires dont il fait l’objet depuis quelques années.

    Source : Safety Detectives

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Les données personnelles de 7,5 millions d'utilisateurs d'Adobe Creative cloud exposées, via une base de données Elasticsearch non sécurisée
    Amazon annonce Open Distro for Elasticsearch, une distribution à valeur ajoutée d'Elasticsearch, qui est 100% open source
    Un pirate a supprimé les données et défacé plus de 10 000 serveurs Elasticsearch exposés sur la toile sans MdP, selon Vinny Troia, ces attaques auraient été commises par le groupe The Dark Overlord
    108 millions de paris de clients de casinos en ligne exposés via une instance Elasticsearch mal configurée, y compris les détails des utilisateurs
    Un serveur du département des valeurs mobilières de l'Oklahoma permettait à quiconque, de télécharger des données gouvernementales confidentielles
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 772
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 772
    Points : 7 214
    Points
    7 214
    Par défaut
    J'en pense que lefigaro.fr va en profiter pour réduire sa facture d'hébergement mais pas changer de fournisseur malheureusement. On pointe Poney telecom mais je pense que ces mauvaises pratiques sont répandues du fait de l'explosion du numérique et donc du manque de personnel qualifié.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  3. #3
    Membre du Club
    Profil pro
    Inscrit en
    Août 2010
    Messages
    19
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2010
    Messages : 19
    Points : 55
    Points
    55
    Par défaut Erreur à propos de Poney Telecom
    Une simple recherche suffit pour trouver que Poney Telecom est le nom donné au réseau de Scaleway (anciennement appelé Online SAS). Et il n'y a aucune source donnée correspondant au manque de fiabilité de cet hébergeur ! On peut critiquer les services d'un hébergeur "low cost" (et je le fais), mais pas sans donner des arguments ou des sources.

  4. #4
    Responsable Qt & Livres


    Avatar de dourouc05
    Homme Profil pro
    Ingénieur de recherche
    Inscrit en
    Août 2008
    Messages
    26 641
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Ingénieur de recherche
    Secteur : Enseignement

    Informations forums :
    Inscription : Août 2008
    Messages : 26 641
    Points : 188 653
    Points
    188 653
    Par défaut
    Les empreintes MD5 des mots de passe ont été révélées, c'est bien ça !? Autant dire que les mots de passe étaient stockés en clair dans leur base de données…
    Vous souhaitez participer aux rubriques Qt (tutoriels, FAQ, traductions) ou HPC ? Contactez-moi par MP.

    Créer des applications graphiques en Python avec PyQt5
    Créer des applications avec Qt 5.

    Pas de question d'ordre technique par MP !

  5. #5
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 605
    Points
    4 605
    Par défaut
    Bonsoir,

    Il y a de quoi paniquer :

    1) les users utilisant facebook ou google ou orange pour se connecter au figaro peuvent pleurer car si les mots de passes sont déchiffrés ... ba possibilité d'accéder aux comptes du fai et de faire de la fraude télécom ... carte sim, ouverture intempestive de ligne, fermer une ligne à l'insu du propriétaire légitime ...
    2) si des employés du figaro ou d'autres journalistes sont des lanceurs d'alertes ... bah adresse postale en clair ... je vous dis pas le merdier si des autorités étrangères ou des personnes mal intentionnées tombent dessus. Les journalistes devront vivement faire attention à leur fesses et leur proche chez eux !!!

  6. #6
    Membre chevronné Avatar de denisys
    Profil pro
    Développeur informatique
    Inscrit en
    Mai 2002
    Messages
    1 133
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Mai 2002
    Messages : 1 133
    Points : 1 971
    Points
    1 971
    Par défaut
    Les médias Français, n’ont plus un indice de confiance favorable, en ce qui concerne les informations qu’ils diffusent .
    Si à cela ils ajoutent des couches de déficiences de sécurisation des données utilisateurs.
    Ils ne devront pas s’étonner, le jour où ils devront fermer boutique !!!
    Ne pas savoir n’est pas une faute si l’on cherche à combler ses lacunes.

    "Il n'y a pas d'obstacles infranchissables , il y a des volontés plus ou moins énergiques voilà tous" Jules Vernes

  7. #7
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    1 926
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 1 926
    Points : 53 254
    Points
    53 254
    Par défaut Le Figaro : "une erreur de configuration d'un serveur Elasticsearch a conduit à la fuite de 8 To de données"
    « Une erreur a été commise dans le paramétrage de la sécurisation des accès du serveur », explique le Figaro à propos d’une fuite de 8 To de données
    Dont celles d’abonnés et de journalistes

    Le Groupe Figaro n’a pas attendu longtemps pour faire une sortie afin d’apporter la lumière sur la fuite de données récemment révélée par SafetyDetectives. Dans un communiqué de presse paru le même jour que le rapport de la firme de sécurité, il explique que :

    « Dans le cadre d’une opération de maintenance, il a été procédé à la migration d’un serveur de logs (journaux d’événements permettant de monitorer en temps réel l’activité d’un site). Cette migration s’est terminée le 8 avril.

    Lors de l’installation de ce nouveau serveur, une erreur a été commise dans la sécurisation des accès à celui-ci. Celle-ci a rendu certaines données théoriquement accessibles du 8 au 28 avril 2020. Il s’agit d’informations parcellaires, très peu exploitables.

    Une fois identifiée, la faille a été immédiatement corrigée. Aucune fuite de données n’a, à ce stade, été constatée.

    Conformément à la réglementation, une déclaration de l’incident est en cours auprès de la CNIL.

    Le Figaro, qui accorde une importance toute particulière à la protection des données relatives à la navigation de ses lecteurs, regrette cet incident. Des process de sécurité supplémentaires sont mis en place afin de s’assurer que ce type d’incident ne se produise plus. »

    Sur certains aspects, c’est une communication positionnée aux antipodes de ce que la publication de la firme de sécurité SafetyDetectives souligne. En effet, là où le Figaro affirme « qu’aucune fuite de données n’a, à ce stade, été constatée », il y a quand même que SafetyDetectives a eu accès aux contenus, ce qui ouvre la porte à la même possibilité pour d’autres tiers. En sus, le rapport de la firme de sécurité fait état de ce qu’au sein du lot de données susceptibles d’être aux mains de pirates informatiques on retrouve : les adresses électroniques des abonnés ; leurs noms complets ; leurs adresses postales ; les mots de passe des nouveaux utilisateurs (au moins 42 000 entre février et avril 2020) et leurs empreintes MD5 ; les pays de résidence et les codes postaux ; les adresses IP ; les jetons d’accès au serveur interne.

    Bref, tout ce qu’il faut à des tiers malveillants pour « usurper l’identité des possesseurs desdites données et mener différentes formes de fraude en leur nom. » Pourtant, le communiqué du Figaro parle d’informations parcellaires, très peu exploitables là où on peut bien se rendre compte que les mots de passe étaient stockés en clair dans la base de données.

    Nom : 7.png
Affichages : 3133
Taille : 331,3 Ko

    Ce sont des développements qui rappellent avec emphase la sensibilité des contenus mis sur des plateformes en ligne. En effet, la possibilité pour des autorités étrangères ou des tiers malveillants d’entrer en possession de ces derniers fait peur quand on sait que les journalistes concernés pourraient être des lanceurs d’alerte. Pourtant, il s’agit de cas récurrents avec des bases de données hébergées sur des serveurs Elasticsearch. Les cas du constructeur automobile Honda et d’Adobe Creative Cloud (pour ne citer que ceux-là) l’illustrent à souhait.

    Source : Groupe Figaro

    Et vous ?

    Que pensez-vous du communiqué du Figaro ?
    Qu’est-ce qui explique cette recrudescence de fuites de données hébergées sur des serveurs Elasticsearch ?

    Voir aussi :

    Les données personnelles de 7,5 millions d'utilisateurs d'Adobe Creative cloud exposées, via une base de données Elasticsearch non sécurisée
    Un pirate a supprimé les données et défacé plus de 10 000 serveurs Elasticsearch exposés sur la toile sans MdP, selon Vinny Troia, ces attaques auraient été commises par le groupe The Dark Overlord
    108*millions de paris de clients de casinos en ligne exposés via une instance Elasticsearch mal configurée, y compris les détails des utilisateurs
    Un serveur du département des valeurs mobilières de l'Oklahoma permettait à quiconque, de télécharger des données gouvernementales confidentielles
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  8. #8
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 772
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 772
    Points : 7 214
    Points
    7 214
    Par défaut
    Que va en penser la CNIL rapport au RGPD.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  9. #9
    Membre averti
    Profil pro
    Inscrit en
    Décembre 2002
    Messages
    245
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Décembre 2002
    Messages : 245
    Points : 320
    Points
    320
    Par défaut
    Ils écrivent les logins et les mots de passes dans les logs ??????

  10. #10
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 605
    Points
    4 605
    Par défaut
    Bonsoir

    Que va en penser la CNIL rapport au RGPD.
    J'espère une extrême sévérité. Plus forte que Darty par exemple. C'est à la famille Dassault de passer à la caisse.

    Citation Envoyé par cd090580 Voir le message
    Ils écrivent les logins et les mots de passes dans les logs ??????
    Plus rien ne me choque ... Des boites ou je suis déjà passé écrivaient des mdp en clair dans des BDD mysql ou oracle ... en open bar sur le réseau interne de boite . Avec le rgpd la politique a changé et l'arrache ... pour "mise en conformité"

  11. #11
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2019
    Messages
    1 898
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Mai 2019
    Messages : 1 898
    Points : 37 111
    Points
    37 111
    Par défaut Un million d'enregistrements de clients exposés via une instance Elasticsearch
    Un million d'enregistrements de clients exposés via une instance Elasticsearch,
    y compris les détails des utilisateurs

    L'équipe de cybersécurité de SafetyDetectives a découvert une importante fuite de données affectant la société de logiciels StoreHub. Les données exposées étaient stockées sur un serveur Elasticsearch de StoreHub, laissé ouvert sans protection par mot de passe ni chiffrement. StoreHub est basé en Malaisie et fournit un système logiciel de point de vente (POS) qui est principalement utilisé dans les restaurants et les magasins de détail.

    StoreHub a été fondé en 2013 en Malaisie et a actuellement son siège social à Petaling Jaya. Leur produit est utilisé par plus de 15 000 entreprises selon leur site web, principalement dans la région de l'Asie du Sud-Est. Le serveur non protégé a potentiellement compromis les informations de milliers de restaurants et de magasins de détail, ainsi que de leur personnel et d'environ un million de clients. L'entreprise vend des logiciels de point de vente principalement aux entreprises F&B (nourriture et boissons), comme les restaurants, mais aussi aux magasins de détail.

    Nom : elastic.png
Affichages : 27110
Taille : 4,2 Ko

    Le logiciel POS est principalement utilisé pour traiter et enregistrer les achats et les transactions dans les entreprises en contact avec la clientèle (restaurants, cafés, bars, magasins, etc.), ainsi que pour émettre des reçus et suivre les ventes d'articles particuliers tels que les repas dans un restaurant, ou les vêtements individuels dans un magasin.

    StoreHub a ainsi pu collecter les données de plus d'un million de personnes à travers l'Asie du Sud-Est, principalement les clients des entreprises utilisant son logiciel.
    Données des clients des entreprises utilisant StoreHub

    Les informations personnelles identifiables (PII) exposées des clients comprennent :

    • les noms complets ;
    • les numéros de téléphone ;
    • adresses physiques ;
    • adresses électroniques.

    Ce n’est pas la première fois que des serveurs ElasticSearch font l’objet d’exposition. En juillet 2019, dans la province du Jiangsu en Chine, un serveur ElasticSearch, appartenant au département de la sécurité publique, accessible au public et non sécurisé aurait exposé deux bases de données comportant plus de 90 millions d’enregistrements de données personnelles et d’entreprises.

    Autrement dit, le serveur de base de données ElasticSearch du département de la sécurité publique de la province du Jiangsu a été rendu accessible au public avec tous les droits d'administrateur, donnant accès à deux bases de données contenant des informations sensibles sur les personnes et les entreprises.

    Une autre brèche de serveur non sécurisé en ligne avait été découverte exposant une importante quantité d’enregistrements client à la merci de toutes personnes malveillantes qui auraient découvert la vulnérabilité. Un groupe de casinos en ligne a divulgué des informations sur plus de 108 millions de paris, y compris des détails sur les informations personnelles des clients.

    Les données ont été exposées via une base de données Elasticsearch mal configurée, sans mot de passe, et la vulnérabilité a été découverte par Justin Paine, un chercheur en sécurité. Les données personnelles sensibles sur des clients divulguées par le groupe de casinos et qui pourraient être exploitées par des pirates informatique comprenaient, entre autres, les vrais noms, adresses personnelles, numéros de téléphone les détails des cartes de paiement.

    Un peu plus tôt en 2020, des données personnelles appartenant aux abonnés du site Internet du Figaro étaient exposées sur un serveur Elasticsearch. En effet, 8 To de données, contenant des données personnelles d’abonnés et d’inscrits au site ont été accessibles en ligne pendant plusieurs mois, avait révèlé Safety Detective, une entreprise de sécurité informatique, dans un rapport. Pour y accéder, aucun mot de passe n’était requis. Il suffisait de connaître l’adresse IP de la base de données.

    « Les journaux API de la base de données contenaient les données des utilisateurs ayant créé un compte d’abonnement sur le site Internet du Figaro entre février et avril 2020, ainsi que les données des utilisateurs préexistants s’étant connectés à leurs comptes pendant cette période », indiquait le rapport.

    Pour le cas de StoreHub, une déclaration conteste la chronologie de Safety Detectives, l'entreprise dit avoir été alertée le 3 février mais ne conteste pas l'existence du serveur non sécurisé. La société a mené une enquête qui, selon elle, a révélé « qu'aucune donnée financière sensible ni aucun mot de passe n'étaient contenus dans la vulnérabilité. »

    La loi malaisienne pourrait être moins clémente, car elle prévoit des amendes substantielles en cas de non-respect des lois sur la protection des données.

    Source : Safety Detectives

    Et vous ?

    Qu'en pensez-vous ?

    Lire aussi

    Un serveur du département des valeurs mobilières de l'Oklahoma permettait à quiconque, de télécharger des données gouvernementales confidentielles

    11 millions d'enregistrements de courriers électroniques exposés dans une base de données MongoDB, selon un chercheur en cybersécurité

    Des informations classées « Top Secret » de l'armée américaine et de la NSA ont été exposées en ligne, sur des serveurs Amazon

    Microsoft veut qu'Azure devienne la solution serveur multijoueur pour toutes les plateformes, grâce à PlayFab Multiplayer Servers

    Une vulnérabilité 0-day dans un plugin jQuery permettrait de télécharger et d'exécuter du code malveillant sur des serveurs PHP, et ce, depuis 2010
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  12. #12
    Invité
    Invité(e)
    Par défaut
    Bonsoir,

    Un million d'enregistrements de clients exposés via une instance Elasticsearch, y compris les détails des utilisateurs

    Qu'en pensez-vous ?
    Ce n'est plus un cas isolé ... Elasticsearch est regulièrement pointé du doigt pour être une passoire en terme de fuite de data !

    StoreHub est basé en Malaisie
    Bien evidement ! Comme de nombreux pays autour ou la sécurité des datas laisse à désirer ... Indonésie, Vietnam, Thailand, Philippines, ... Et l'on nous fait la moral avec le RGPD en Europe ^^

Discussions similaires

  1. Réponses: 12
    Dernier message: 11/05/2011, 18h33
  2. Réponses: 3
    Dernier message: 24/03/2011, 14h03
  3. Réponses: 10
    Dernier message: 28/10/2010, 10h47
  4. Une faille dans iOS 4.1 permet un vol des données personnelles
    Par Katleen Erna dans le forum Actualités
    Réponses: 10
    Dernier message: 28/10/2010, 10h47
  5. Des indexes invalides appartenant aux schémas SYS et SYSTEM
    Par smaildba dans le forum Administration
    Réponses: 3
    Dernier message: 21/12/2009, 15h49

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo