Un site d'investissement immobilier n'a pas protégé deux répertoires contenant des centaines de documents personnels, dont des pièces d'identité. Dividom a comblé la fuite, la justifiant par un changement de directeur technique et de système. La Cnil n'avait pas été avertie.
Le site d'investissement immobilier Dividom a laissé accessibles deux dossiers contenant près de 20 000 fichiers, dont quelques centaines contenaient des données personnelles. Parmi eux, environ 400 pièces d'identité (cartes d'identité, passeports...) et 150 relevés d'identité bancaire (RIB), selon la société et un chercheur en sécurité, interrogés. Nous avons pu en consulter un échantillon, qui comprenait aussi un bulletin de paie et une facture d'eau.
Le premier dossier a été signalé à Dividom le 11 juillet par Sysdream, une société de cybersécurité, et le second le 1er août par un chercheur en sécurité canadien, « Marc », selon des échanges que nous avons consultés. Le premier dossier a été mis hors ligne le 2 août. Le second l'aurait été le 9 août, une semaine après le signalement, selon le chercheur.
Deux dossiers, dont un « bucket S3 » doublon
La jeune pousse a donc d'abord été avertie par Sysdream. « Nous avons été un peu surpris du nombre de documents. Dans le tas, énormément ne sont absolument pas des documents de clients. On n'a pas 20 000 clients, même si on aimerait bien ! » nous assure Maxime Duhamelle, cofondateur de Dividom, dans un entretien fin août.
La majeure partie des documents « concerne nos sociétés civiles immobilières que nous gérons (statuts, relevés, facture de travaux, courriers, diagnostics...) », ajoute la société. « La plupart [des documents] étaient des reçus et contrats avec seulement les noms et signatures » répond pour sa part « Marc ».
Contacté, Sysdream n'a pas répondu à nos sollicitations.
Début août, « Marc » a découvert un miroir du premier dossier, dans un « bucket » Amazon S3 (espace de stockage), le signalant après quelques heures. « On m'a averti qu'un autre dossier (dupliqué du dossier public) était accessible. Je l'ai supprimé dans la foulée, puisque inutilisé » nous confirme Maxime Duhamelle.
Le 23 août, « Marc » faisant état de sa découverte sur Reddit.
Le chercheur a exploité l'outil dédié Gray Hat Warfare, qui répertorie ces dossiers ouverts sur Amazon S3, en quête de telles bévues. « La plupart des chercheurs semblent opérer dans la sphère anglophone, alors je me suis dit que ça vaudrait le coup de chercher des entreprises ailleurs » nous répond-il.
« Pour le meilleur et pour le pire, [cet outil] rend la découverte de ces fuites très facile. Une personne avec des connaissances informatiques de base aurait pu facilement tomber sur tous ces documents et les utiliser dans des buts inavouables » estime le chercheur.
Maxime Duhamelle justifie cette fuite : « Nous avons changé de directeur technique il y a un an et demi. Nous avons complètement changé le site. Deux systèmes coexistaient, ces documents étaient sur l'ancien système ». Sa durée concrète n'est pas connue.
La Cnil n'était pas au courant
Dividom n'a pas averti la Cnil de cette fuite, ce que nous confirme la commission. La société nous assure avoir chargé son avocat de cette procédure après notre entretien. En vertu du Règlement général sur la protection des données (RGPD), toute fuite de données dangereuse doit être notifiée dans les meilleurs délais à la Cnil, si possible dans les 72 heures après sa découverte.
« La Cnil veille au respect des obligations. Nous allons attendre de voir ce qu'ils vont nous dire » nous répondait l'institution fin août. Aucune sanction publique n'a été prise précédemment contre la société. Elle refuse de révéler si une sanction sans publicité a déjà été prononcée.
Nous avons demandé des détails supplémentaires à Dividom ces derniers jours, pour vérifier certaines dates et si le premier dossier épinglé était un espace de stockage S3 ou non. Malgré la promesse de réponses le 17 septembre, Maxime Duhamelle était injoignable cette journée et le lendemain.
