[MàJ] Fuite de données personnelles : France Info répond à nos questions

[MàJ] Fuite de données personnelles : France Info répond à nos questions

C'est la saison

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

30/04/2014 4 minutes
42

[MàJ] Fuite de données personnelles : France Info répond à nos questions

Hier, nous avons été informés que le portail de France Info était un peu trop bavard et laissait fuiter des données personnelles, comme nous avons pu le constater depuis. Parmi les éléments accessibles à tout le monde, on retrouve des adresses IP, des horaires de connexion et parfois un compte mail associé.

France Info fuiteFrance Info fuite

Des emails et des adresses IP en vadrouille chez France Inter

Sale temps pour la sécurité informatique depuis quelques mois puisque de nombreux sites web ont été victimes de fuites de données, plus ou moins importantes. On pense notamment à la faille Heartbleed d'OpenSSL, mais il y a également eu le cas d'Orange et celui de LaCie, ce dernier étant un peu particulier puisque le piratage a duré près d'un an.

 

C'est désormais au tour du site de France Info d'être victime d'une fuite de données personnelles. Via une simple URL ou une recherche Google, il est en effet possible de récupérer diverses informations provenant des visiteurs qui passent sur le site de la radio. Cela comprend dans tous les cas l'adresse IP, l'heure et la date du relevé, la plateforme utilisée ainsi que l'User Agent du navigateur. De plus, pour les utilisateurs connectés, l'adresse email est parfois disponible.

Attention aux campagnes de phishing qui pourraient en découler

Lors de nos différentes investigations, nous avons pu constater que cela touchait de très nombreux utilisateurs entre 2013 et 2014, mais cela remonte même parfois plus loin (nous avons détecté des cas jusqu'en octobre 2012). À l'heure où nous écrivons ces lignes, la faille est toujours présente.

 

Comme dans le cas d'Orange, des personnes malintentionnées pourraient en profiter pour lancer des campagnes de phishing en se faisant passer pour France Info, adresse IP et date de passage sur le site à l'appui. De plus, et comme le soulignent nos confrères de Zataz, cela pourrait également être le début d'une campagne ciblée sur les utilisateurs d'Internet Explorer qui est actuellement victime d'une faille de type « 0-day ».

Radio France confirme, la migration des serveurs serait en cause

Dans l'après-midi, nous avons pu nous entretenir avec Joël Ronez, directeur des nouveaux médias de Radio France. Ce dernier nous a confirmé l'existence de la faille expliquant qu'elle est apparue suite à un changement d'hébergeur lancé il y a trois semaines, tandis que la régie de publicité passait de France Television Publicité à l'Express.

 

Et, comme nous avions pu le constater, Joël Ronez précise que la faille est liée au serveur de publicité qui s'occupe des autopromos. En effet, un « tracking » des utilisateurs est en place et ce sont justement les informations liées à cela qui sont accessibles.

 

France Info

Les utilisateurs potentiellement touchés seront contactés

Quoi qu'il en soit, Joël Ronez nous confirme que des correctifs ont déjà été mis en place, mais que certaines pages sont encore accessibles, néanmoins tout devrait rentrer dans l'ordre d'ici ce soir. Dans tous les cas, une nouvelle version du site (sous Drupal 7) sera mise en ligne mardi prochain et ses pages n'existeront alors plus du tout.

 

Alors que Zataz avait informé dès hier soir France Info, le directeur admet clairement que ces services n'ont pas été suffisamment réactifs pour colmater la fuite, et ce, à tous les niveaux. La faute selon lui incombant à la migration des serveurs qui occupe tout le monde.

 

Sachez enfin que France Info revendique environ 10 000 comptes utilisateurs, et donc autant d'adresses email susceptible de se retrouver dans la nature. Pour autant, certaines n'étaient pas affichées en totalité puisque la fin (avant l'@) était remplacée à des « ... ». Toujours est-il que tous les utilisateurs potentiellement concernés seront ultérieurement informés par email, probablement via la Newsletter.

42

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des emails et des adresses IP en vadrouille chez France Inter

Attention aux campagnes de phishing qui pourraient en découler

Radio France confirme, la migration des serveurs serait en cause

Les utilisateurs potentiellement touchés seront contactés

Commentaires (42)


Pas bête la relation avec la fail d’Internet Explorer <img data-src=" />

Est-ce que finalement il y aura une sensibilisation des masses et des médias quant à la sécurité sur internet ?



Du coup, c’est tout le groupe Radio France qui est concerné non ?


Normalement dans ce cas, il faut pas publier des news sur leur faille, tant qu’ils ne l’ont pas comblée… de plus en fonction de vos investigations vous pouvez vous retrouver avec une plainte pour hacking (connais plus les termes juridiques fr). J’espère que ce sera pas le cas.








ionutioio a écrit :



Normalement dans ce cas, il faut pas publier des news sur leur faille, tant qu’ils ne l’ont pas comblée… de plus en fonction de vos investigations vous pouvez vous retrouver avec une plainte pour hacking (connais plus les termes juridiques fr). J’espère que ce sera pas le cas.







Ne rien voir, ne rien savoir est toujours le meilleur moyen de se protéger ^^









ionutioio a écrit :



de plus en fonction de vos investigations vous pouvez vous retrouver avec une plainte pour hacking (connais plus les termes juridiques fr).







Je dirais “accès frauduleux à un système de traitement automatisé de données” à priori



Avoue qu’elle est sexy cette expression <img data-src=" />



A noter que NXI ne risque rien car ils ne précisent en aucun cas la méthode









ionutioio a écrit :



Normalement dans ce cas, il faut pas publier des news sur leur faille, tant qu’ils ne l’ont pas comblée… de plus en fonction de vos investigations vous pouvez vous retrouver avec une plainte pour hacking (connais plus les termes juridiques fr). J’espère que ce sera pas le cas.





Au contraire, il faut prévenir les utilisateurs. Ce n’est pas en cachant une réalité, que la résolution du problème sera plus rapide, alors que, dans le même temps, tout informaticien expérimenté et parfois mal intentionné est capable, de lui-même, de découvrir cette réalité.



Et un chômeur de plus, un….<img data-src=" />








ionutioio a écrit :



Normalement dans ce cas, il faut pas publier des news sur leur faille, tant qu’ils ne l’ont pas comblée… de plus en fonction de vos investigations vous pouvez vous retrouver avec une plainte pour hacking (connais plus les termes juridiques fr). J’espère que ce sera pas le cas.



Interdiction du full disclosure?









ionutioio a écrit :



Normalement dans ce cas, il faut pas publier des news sur leur faille, tant qu’ils ne l’ont pas comblée… de plus en fonction de vos investigations vous pouvez vous retrouver avec une plainte pour hacking (connais plus les termes juridiques fr). J’espère que ce sera pas le cas.







Dans le monde de bisounours dans lequel je vis, il faut informer France Info, et les laisser prevenir leur clients du truc et combler la faille avant de niouzer dessus. <img data-src=" />





nous avons détecté des cas jusqu’en octobre 2012



Ils ont le droit de garder ces données si longtemps ?


Je parie qu’ils vont incriminer soit un stagiaire ou une société extérieur … <img data-src=" />



De toute façon les infos du navigateur sont a prendre avec des pincettes : Pour l’instant, on vois que j’utilise firefox avec windows 7 … alors que j’utilise windows XP <img data-src=" />




Via une simple URL ou une recherche Google, il est en effet possible de récupérer diverses informations provenant des visiteurs qui passent sur le site de la radio.





C’est vague ! C’est pas possible d’en savoir plus ?



Car vu les captures, ça m’a tout l’air d’un oubli de désactivation du mode debug.


Bon ça va il n’y avait que 10 comptes réels sur le site de France Info donc les risques restent limités ^^








ionutioio a écrit :



Normalement dans ce cas, il faut pas publier des news sur leur faille, tant qu’ils ne l’ont pas comblée… de plus en fonction de vos investigations vous pouvez vous retrouver avec une plainte pour hacking (connais plus les termes juridiques fr). J’espère que ce sera pas le cas.





<img data-src=" />



Il aurait dû défacer le site pour y installer un message d’alerte, ce serait plus sûr <img data-src=" />



Merci d’éviter de poster des liens vers la recherche en question <img data-src=" />





NiCr a écrit :



C’est vague ! C’est pas possible d’en savoir plus ?



Car vu les captures, ça m’a tout l’air d’un oubli de désactivation du mode debug.







Non, je ne donnerais pas plus de détails, du moins pas tant que les données sont accessibles, ce qui est toujours le cas <img data-src=" />



Ahah ! Mes commentaires avec des liens Google supprimés… <img data-src=" />



Comme quoi Google est vraiment considéré, au tribunal ou sur NextInpact, comme une arme de pirate ! Je comprends mieux la condamnation de Bluetouff… <img data-src=" />








vortex33 a écrit :



Ahah ! Mes commentaires avec des liens Google supprimés… <img data-src=" />



Comme quoi Google est vraiment considéré, au tribunal ou sur NextInpact, comme une arme de pirate ! Je comprends mieux la condamnation de Bluetouff… <img data-src=" />







Non tu comprends rien et c’est ça le problème …



Pas malin de poster ça.









Gericoz a écrit :



Non tu comprends rien et c’est ça le problème …



Pas malin de poster ça.







Moui, je ne serais pas si catégorique que toi…

Pas très malin de poster ça, certainement.



On peut aussi se demander s’il est bien raisonnable de publier un tel article dans ce contexte où l’obtention des informations se fait “si simplement” et lorsque rien n’est colmaté.









Gericoz a écrit :



Non tu comprends rien et c’est ça le problème …



Pas malin de poster ça.







Bien ! Un post de grande valeur qui fait clairement avancer le débat…



Peux-tu développer ?



Et la CNIL dans tout cela ? Elle n’est pas censée intervenir quand un SI est touché et que des données perso sont dévoilées ?








Jarodd a écrit :



Et la CNIL dans tout cela ? Elle n’est pas censée intervenir quand un SI est touché et que des données perso sont dévoilées ?







Tout à fait, sauf qu’actuellement la loi informatique et liberté sur laquelle la CNIL se base date un peu… et une bonne partie des textes ne concernent que les opérateurs télécom, notamment la fameuse loi 34bis (sujet très bien décrit dans cet article). Espérons que ça évolue, notamment au niveau européen…



Il faut aussi savoir que la CNIL manque cruellement de moyen face à ces cas de plus en plus fréquents, maintes fois relayé par David Legrand ici même.









vortex33 a écrit :



Bien ! Un post de grande valeur qui fait clairement avancer le débat…



Peux-tu développer ?







Google est clairement une arme de pirate, comme un ordinateur. La question n’est donc pas de condamner google ou un ordinateur mais c’est uniquement l’utilisation qui conditionnera si c’est du piratage ou pas.



Ici l’article indique qu’une faille existe et ne donne pas tous les éléments pour l’utiliser. Toi tu franchis la frontière et tu t’indignes qu’on supprime ton poste?



C’est comme si un article indiquait que des boîtiers existent pour démarrer (et voler) n’importe quelles voitures et que toi tu donnais le lien pour l’acheter.









Gericoz a écrit :



Ici l’article indique qu’une faille existe et ne donne pas tous les éléments pour l’utiliser. Toi tu franchis la frontière et tu t’indignes qu’on supprime ton poste?

.







L’article ne donne pas tous les éléments ? pourtant, le lien Google que j’avais mis en exemple ne contenait aucun autre élément que ceux figurant sur les captures d’écran de l’article… Faut-il dans ce cas supprimer ces captures d’écran ? J’en appelle à l’auto-censure du rédacteur…



Je ne comprends pas ta comparaison avec les boîtiers… ici l’article ne se contente pas de dire que cette faille existe, il l’affichent au grand jour avec ces copies d’écran ! Pour poursuivre ta comparaison il faudrait que l’article sur les boîtiers montre un site qui en vend un, avec des noms de produits, d’articles, permettant à n’importe qui de le retrouver. Mais de manière hypocrite, ne mettrais pas de lien pour ne pas “franchir la frontière”… évidemment…



Si l’info est déjà connue et relayée par de nombreux sites, pourquoi cacher des choses?

(je ne parle pas d’un “howto”, ni de ce cas particulier)

HeathBleed est l’exemple parfait.



A contrario, si c’est une info “PCI” (un lecteur tombe dessus et vous informe, ou vous trouvez ca tout seul) j’ose espérer que FranceInfo à été prévenu avant.



Enfin, je n’ai pas d’avis tranché sur le full disclosure.

Tout dépend de la gravité de la faille, et de la réaction de l’éditeur.



Si il traine des pieds pour corriger, à un moment, il faut “frapper” , non?













RaoulC a écrit :



A contrario, si c’est une info “PCI” (un lecteur tombe dessus et vous informe, ou vous trouvez ca tout seul) j’ose espérer que FranceInfo à été prévenu avant.











Article a écrit :



Bien évidemment, nous avons contacté France Info afin de signaler le problème, mais nous n’avons pas eu de retour pour le moment.






une nouvelle version du site (sous Drupal 7)





Tout s’explique ! <img data-src=" />


Le tracking publicitaire récupère l’adresse mail de l’utilisateur … <img data-src=" />








atomusk a écrit :



Le tracking publicitaire récupère l’adresse mail de l’utilisateur … <img data-src=" />







Le tracking récupère les infos du compte utilisateur









gathor a écrit :



Le tracking récupère les infos du compte utilisateur







Ca serait pas plus sécure de prendre un identifiant unique, et pas balancer l’adresse mail complete ?

Je sais pas, un hash pour permettre de rapprocher un utilisateur sur plusieurs plateformes, pas “tient j’ai une base d’adresse mail pour faire du mailing et pour revendre” ? <img data-src=" />









ionutioio a écrit :



Normalement dans ce cas, il faut pas publier des news sur leur faille, tant qu’ils ne l’ont pas comblée… de plus en fonction de vos investigations vous pouvez vous retrouver avec une plainte pour hacking (connais plus les termes juridiques fr). J’espère que ce sera pas le cas.







Pour le coup il y a 2 axes à la news : donner l’information d’une faille qui a déjà été annoncée par d’autre sites (zataz en particulier), et prévenir d’une probable future attaque en fishing pour les personnes qui ont un compte.



Et si ça peux mettre un BON coup de pied au cul de France info pour corriger au plus vite c’est pas plus mal <img data-src=" />









atomusk a écrit :



Pour le coup il y a 2 axes à la news : donner l’information d’une faille qui a déjà été annoncée par d’autre sites (zataz en particulier), et prévenir d’une probable future attaque en fishing pour les personnes qui ont un compte.







Sujet du prochain Edito du Samedi ? <img data-src=" />









gathor a écrit :



Le tracking récupère les infos du compte utilisateur







Et je suppose que c’est fait sans le consentement de l’utilisateur ? <img data-src=" />









Jarodd a écrit :











Merci, ca m’apprendra à lire les articles de travers









Jarodd a écrit :



Et je suppose que c’est fait sans le consentement de l’utilisateur ? <img data-src=" />





CGU/CLUF? <img data-src=" />




[HS]

declarations-patrimoine.gouvernement.fr



Fini la “transparence”, retour aux petites <img data-src=" /> de comptes à l’étranger ?

[/HS]








RaoulC a écrit :



CGU/CLUF? <img data-src=" />







Probablement… En des termes bien obscurs pour que le 1% d’abonnés qui les lisent avant validation ne voient rien passer.



On ne m’a jamais dit que France Info était crypté j’aurais entendu les parasites à la place <img data-src=" />


Un truc dingue que je viens de découvrir sur YT pour ceux qui aime Robert Fripp (King Crimson) (ça)


Ils n’auraient pas simplement pu mettre leur site hors-ligne, dès l’info reçue, et reflechir à reprendre leur buisness d’assistés par l’impôt, après? <img data-src=" />