Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Dividom a laissé fuiter des centaines de documents personnels

Des PDF élevés en plein air
Internet 3 min
Dividom a laissé fuiter des centaines de documents personnels
Crédits : Firmafotografen/iStock

Un site d'investissement immobilier n'a pas protégé deux répertoires contenant des centaines de documents personnels, dont des pièces d'identité. Dividom a comblé la fuite, la justifiant par un changement de directeur technique et de système. La Cnil n'avait pas été avertie.

Le site d'investissement immobilier Dividom a laissé accessibles deux dossiers contenant près de 20 000 fichiers, dont quelques centaines contenaient des données personnelles. Parmi eux, environ 400 pièces d'identité (cartes d'identité, passeports...) et 150 relevés d'identité bancaire (RIB), selon la société et un chercheur en sécurité, interrogés. Nous avons pu en consulter un échantillon, qui comprenait aussi un bulletin de paie et une facture d'eau.

Le premier dossier a été signalé à Dividom le 11 juillet par Sysdream, une société de cybersécurité, et le second le 1er août par un chercheur en sécurité canadien, « Marc », selon des échanges que nous avons consultés. Le premier dossier a été mis hors ligne le 2 août. Le second l'aurait été le 9 août, une semaine après le signalement, selon le chercheur.

Deux dossiers, dont un « bucket S3 » doublon

La jeune pousse a donc d'abord été avertie par Sysdream. « Nous avons été un peu surpris du nombre de documents. Dans le tas, énormément ne sont absolument pas des documents de clients. On n'a pas 20 000 clients, même si on aimerait bien ! » nous assure Maxime Duhamelle, cofondateur de Dividom, dans un entretien fin août.

La majeure partie des documents « concerne nos sociétés civiles immobilières que nous gérons (statuts, relevés, facture de travaux, courriers, diagnostics...) », ajoute la société. « La plupart [des documents] étaient des reçus et contrats avec seulement les noms et signatures » répond pour sa part « Marc ».

Contacté, Sysdream n'a pas répondu à nos sollicitations.

Début août, « Marc » a découvert un miroir du premier dossier, dans un « bucket » Amazon S3 (espace de stockage), le signalant après quelques heures. « On m'a averti qu'un autre dossier (dupliqué du dossier public) était accessible. Je l'ai supprimé dans la foulée, puisque inutilisé » nous confirme Maxime Duhamelle.

Le 23 août, « Marc » faisant état de sa découverte sur Reddit.

Le chercheur a exploité l'outil dédié Gray Hat Warfare, qui répertorie ces dossiers ouverts sur Amazon S3, en quête de telles bévues.  « La plupart des chercheurs semblent opérer dans la sphère anglophone, alors je me suis dit que ça vaudrait le coup de chercher des entreprises ailleurs » nous répond-il.

« Pour le meilleur et pour le pire, [cet outil] rend la découverte de ces fuites très facile. Une personne avec des connaissances informatiques de base aurait pu facilement tomber sur tous ces documents et les utiliser dans des buts inavouables » estime le chercheur.

Maxime Duhamelle justifie cette fuite : « Nous avons changé de directeur technique il y a un an et demi. Nous avons complètement changé le site. Deux systèmes coexistaient, ces documents étaient sur l'ancien système ». Sa durée concrète n'est pas connue.

La Cnil n'était pas au courant

Dividom n'a pas averti la Cnil de cette fuite, ce que nous confirme la commission. La société nous assure avoir chargé son avocat de cette procédure après notre entretien. En vertu du Règlement général sur la protection des données (RGPD), toute fuite de données dangereuse doit être notifiée dans les meilleurs délais à la Cnil, si possible dans les 72 heures après sa découverte.

« La Cnil veille au respect des obligations. Nous allons attendre de voir ce qu'ils vont nous dire » nous répondait l'institution fin août. Aucune sanction publique n'a été prise précédemment contre la société. Elle refuse de révéler si une sanction sans publicité a déjà été prononcée.

Nous avons demandé des détails supplémentaires à Dividom ces derniers jours, pour vérifier certaines dates et si le premier dossier épinglé était un espace de stockage S3 ou non. Malgré la promesse de réponses le 17 septembre, Maxime Duhamelle était injoignable cette journée et le lendemain.

11 commentaires
Avatar de Abyssion Abonné
Avatar de AbyssionAbyssion- 19/09/18 à 13:15:20

Signaler ce commentaire aux modérateurs :

j'ai testé au hasard le lien pour explorer tous les S3 ouvert je tombe sur des dizaines de démarches de carte grises françaises...

Avatar de soupêtte Abonné
Avatar de soupêttesoupêtte- 19/09/18 à 13:36:59

Signaler ce commentaire aux modérateurs :

effectivement c'est complètement fou le nombre de documents totalement privés qu'on trouve en quelques minutes avec certains mots clés...

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 19/09/18 à 15:19:24

Signaler ce commentaire aux modérateurs :

On n'a pas 20 000 clients, même si on aimerait bien !

Voilà la publicité qu'il leur fallait

Avatar de cadox INpactien
Avatar de cadoxcadox- 19/09/18 à 17:16:32

Signaler ce commentaire aux modérateurs :

Fuire existe.

Fuiter n'existe pas

Édité par cadox le 19/09/2018 à 17:17
Avatar de MoonRa Abonné
Avatar de MoonRaMoonRa- 19/09/18 à 17:29:01

Signaler ce commentaire aux modérateurs :

AWS met bien en avant quand les S3 sont publiques, c'est criminel.

Édité par MoonRa le 19/09/2018 à 17:29
Avatar de WereWindle Abonné
Avatar de WereWindleWereWindle- 20/09/18 à 07:57:41

Signaler ce commentaire aux modérateurs :

En l'occurrence, si

Avatar de kewilo Abonné
Avatar de kewilokewilo- 20/09/18 à 08:36:59

Signaler ce commentaire aux modérateurs :

 exactement, cadox, une simple vérification dans un dico en ligne t'aurait détrompé :

https://www.larousse.fr/dictionnaires/francais/fuiter/10910309

Édité par kewilo le 20/09/2018 à 08:38
Avatar de kewilo Abonné
Avatar de kewilokewilo- 20/09/18 à 08:37:57

Signaler ce commentaire aux modérateurs :

désolé, double post

Édité par kewilo le 20/09/2018 à 08:39
Avatar de cadox INpactien
Avatar de cadoxcadox- 21/09/18 à 19:58:14

Signaler ce commentaire aux modérateurs :

En effet, il est peut être récent alors, merci pour ta recherche.
L'image portée par le mot fuire est si explicite que je ne comprends pas l'intérêt de cet autre mot que je trouve très moche.
On s'ennuit tant que ça à l'académie française?
 

Édité par cadox le 21/09/2018 à 19:59
Avatar de aelOnn INpactien
Avatar de aelOnnaelOnn- 22/09/18 à 14:10:20

Signaler ce commentaire aux modérateurs :

il m'a fallu 30sec pour trouver une carte d'identité francaise, scarry

Il n'est plus possible de commenter cette actualité.
Page 1 / 2