Blog

Le service civique français expose 1,4 million de fiches d'utilisateurs sur le Web, y compris les données personnelles des bénévoles

Le service civique français expose les dossiers des usagers



La base de données comprenait des centaines de milliers de détails de contrats pour les bénévoles du programme, ainsi que plus d'un million de noms, adresses e-mail et mots de passe d'utilisateurs qui se sont inscrits via le site Web.

L’équipe de recherche en sécurité de Comparitech, dirigée par l’expert en cybersécurité Bob Diachenko, a découvert la base de données le 30 mai et l’a signalée au Service Civique français le même jour. L’organisation a agi rapidement et a sécurisé le serveur exposé quelques heures plus tard.



Le Service civique français a déclaré à Comparitech dans un communiqué qu'un sous-traitant avait exposé la base de données des anciens volontaires :

L'Agence du Service Civique a été alertée samedi 30 mai à 15h30 qu'une faille de sécurité avait été détectée dans le système d'un [de] nos sous-traitants et avait donné accès à une base de données personnelle d'anciens volontaires du Service Civique français. Immédiatement, l'Agence du Service Civique a fait tout ce qu'il fallait pour retrouver l'origine de la brèche et la sécuriser. L'accès a été bloqué le samedi 30 mai à 19 heures.



Il s'agissait d'une plateforme de test, pas de notre site internet, sur laquelle un de nos sous-traitants avait chargé notre base de données sans système sécurisé adéquat le 25 mai. Notre enquête sur l'historique des accès non autorisés sur cette base de données montre qu'à notre connaissance, aucune intrusion malveillante n'a eu lieu sur la plateforme. Le rapport d'incident a été transmis à la Commission nationale de l'informatique et des libertés (CNIL). et le ministère de tutelle a été informé en permanence au cours de notre enquête. Un audit complet de tous nos systèmes sera lancé. Nous nous engageons à maintenir notre sensibilisation à la cyber-hygiène.

Chronologie de l'exposition

La base de données a été exposée pendant cinq jours au total :

25 mai 2020 :Un sous-traitant travaillant pour le compte du Service Civique français a déployé la base de données

27 mai 2020 :La base de données exposée a été indexée par le moteur de recherche Shodan.io

30 mai 2020 :Diachenko a découvert la base de données et a contacté le chercheur français en sécurité Baptiste Robert, qui a contribué à porter l'incident à l'attention du Service civique français.

30 mai 2020 :Les données exposées ont été sécurisées environ trois heures après la divulgation de Diachenko

Bien que le Service Civique français ait déclaré qu'aucune intrusion malveillante n'a eu lieu, nous ne pouvons pas confirmer si d'autres personnes non autorisées ont accédé aux données.

Quelles données ont été exposées ?

La base de données MongoDB ouverte et non protégée contenait plusieurs ensembles de données, notamment :

  • 373 892 détails sur les bénévoles, dont Informations sur le contrat ELISA . ELISA (Extranet Local de Rémunération et de Suivi des Volontaires d'Accueil dans le Service Civique) est le système utilisé pour autoriser les organismes souhaitant embaucher des bénévoles par l'intermédiaire du Service Civique français et gérer les contrats et les rémunérations entre ces organismes et leurs bénévoles. Les informations contenues dans ces documents comprennent :
    • Noms complets des deux parties
    • Numéros d’identification SIRET
    • Conditions de service bénévole
    • Documents internes et liens
  • Plus d'un million d'enregistrements d'utilisateurs de sites Web, dont:
    • Adresses mail
    • Noms complets
    • Mots de passe du compte
  • Un annuaire de 1 913 contacts prestigieux dont:
    • Adresses postales
    • Les numéros de téléphone
    • Adresses mail

Dangers des données exposées

Bien que le Service Civique français affirme qu'aucune intrusion malveillante n'a été détectée, nous recommandons vivement aux utilisateurs concernés et aux organisations bénévoles de prendre des mesures pour se protéger au cas où des cybercriminels parviendraient à voler les données exposées.

Les mots de passe divulgués sont les plus inquiétants. Les utilisateurs concernés doivent immédiatement modifier leurs mots de passe de connexion au site Web. De plus, si la même combinaison de mot de passe et d’adresse e-mail a été utilisée sur un autre compte ou service, modifiez-les également pour éviter les attaques de type credential stuffing.

Toute personne dont les coordonnées ont été exposées doit être à l’affût des courriels d’escroquerie et de phishing provenant de criminels se faisant passer pour le Service civique français et les organisations associées.

Pourquoi nous avons signalé cette exposition

Comparitech travaille avec le chercheur en sécurité Bob Diachenko pour rechercher et signaler les cas d'exposition de données personnelles en ligne. En trouvant, par exemple, une base de données non sécurisée remplie d'informations sensibles, nous commençons immédiatement à essayer de savoir à qui appartiennent les données, qui peut être affecté, quel type d'informations a été exposé et toutes les ramifications potentielles qui pourraient en résulter. ces données étant du domaine public.

Notre objectif n’est pas de dénoncer et de faire honte aux organisations pour leurs failles en matière de sécurité. Il s’agit plutôt d’empêcher les personnes d’être victimes d’usurpation d’identité, de campagnes de spear phishing et d’autres attaques malveillantes suite à l’exposition de leurs données. C'est pourquoi, avant de rendre nos conclusions publiques, nous nous coordonnons d'abord avec les propriétaires des bases de données et veillons à ce que les données ne soient plus accessibles.

Rapports précédents

C’est loin d’être le seul exemple de ce type. Dans le passé, notre équipe a découvert plusieurs incidents similaires, notamment lorsque :

^