Suite à la publication de notre actualité, nous avons pu nous entretenir avec Joël Ronez, directeur des nouveaux médias de Radio France, qui nous a donné de plus amples informations sur les tenants et les aboutissants de cette histoire.
Hier, nous avons été informés que le portail de France Info était un peu trop bavard et laissait fuiter des données personnelles, comme nous avons pu le constater depuis. Parmi les éléments accessibles à tout le monde, on retrouve des adresses IP, des horaires de connexion et parfois un compte mail associé.
Des emails et des adresses IP en vadrouille chez France Inter
Sale temps pour la sécurité informatique depuis quelques mois puisque de nombreux sites web ont été victimes de fuites de données, plus ou moins importantes. On pense notamment à la faille Heartbleed d'OpenSSL, mais il y a également eu le cas d'Orange et celui de LaCie, ce dernier étant un peu particulier puisque le piratage a duré près d'un an.
C'est désormais au tour du site de France Info d'être victime d'une fuite de données personnelles. Via une simple URL ou une recherche Google, il est en effet possible de récupérer diverses informations provenant des visiteurs qui passent sur le site de la radio. Cela comprend dans tous les cas l'adresse IP, l'heure et la date du relevé, la plateforme utilisée ainsi que l'User Agent du navigateur. De plus, pour les utilisateurs connectés, l'adresse email est parfois disponible.
Attention aux campagnes de phishing qui pourraient en découler
Lors de nos différentes investigations, nous avons pu constater que cela touchait de très nombreux utilisateurs entre 2013 et 2014, mais cela remonte même parfois plus loin (nous avons détecté des cas jusqu'en octobre 2012). À l'heure où nous écrivons ces lignes, la faille est toujours présente.
Comme dans le cas d'Orange, des personnes malintentionnées pourraient en profiter pour lancer des campagnes de phishing en se faisant passer pour France Info, adresse IP et date de passage sur le site à l'appui. De plus, et comme le soulignent nos confrères de Zataz, cela pourrait également être le début d'une campagne ciblée sur les utilisateurs d'Internet Explorer qui est actuellement victime d'une faille de type « 0-day ».
Radio France confirme, la migration des serveurs serait en cause
Dans l'après-midi, nous avons pu nous entretenir avec Joël Ronez, directeur des nouveaux médias de Radio France. Ce dernier nous a confirmé l'existence de la faille expliquant qu'elle est apparue suite à un changement d'hébergeur lancé il y a trois semaines, tandis que la régie de publicité passait de France Television Publicité à l'Express.
Et, comme nous avions pu le constater, Joël Ronez précise que la faille est liée au serveur de publicité qui s'occupe des autopromos. En effet, un « tracking » des utilisateurs est en place et ce sont justement les informations liées à cela qui sont accessibles.
Les utilisateurs potentiellement touchés seront contactés
Quoi qu'il en soit, Joël Ronez nous confirme que des correctifs ont déjà été mis en place, mais que certaines pages sont encore accessibles, néanmoins tout devrait rentrer dans l'ordre d'ici ce soir. Dans tous les cas, une nouvelle version du site (sous Drupal 7) sera mise en ligne mardi prochain et ses pages n'existeront alors plus du tout.
Alors que Zataz avait informé dès hier soir France Info, le directeur admet clairement que ces services n'ont pas été suffisamment réactifs pour colmater la fuite, et ce, à tous les niveaux. La faute selon lui incombant à la migration des serveurs qui occupe tout le monde.
Sachez enfin que France Info revendique environ 10 000 comptes utilisateurs, et donc autant d'adresses email susceptible de se retrouver dans la nature. Pour autant, certaines n'étaient pas affichées en totalité puisque la fin (avant l'@) était remplacée à des « ... ». Toujours est-il que tous les utilisateurs potentiellement concernés seront ultérieurement informés par email, probablement via la Newsletter.
