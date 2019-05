Nouvelle fuite impressionnante de données, cette fois chez la First American Financial Corp, importante société américaine financière fournissant notamment des services d’assurance pour les biens immobiliers et les hypothèques.

Avertis par un développeur, les chercheurs de KrebsOnSecurity ont pu confirmer la disponibilité de 885 millions de documents financiers et administratifs, accessibles très facilement depuis un simple navigateur.

Le cas est classique : depuis l’adresse connue vers un fichier, on peut accéder aux autres en changeant certains caractères. Aucune authentification n’est réclamée.

Un comble quand on connaît la teneur des données stockées par la « FirstAm » : numéros de sécurité sociale, permis de conduire, relevés bancaires, données financières des petites entreprises et globalement tout document pouvant intervenir dans une transaction immobilière, que l’on soit acheteur ou vendeur. Les plus vieilles informations remontent à 2003.

L’entreprise ne semble guère s’être ennuyée avec les détails d’un système de sécurité : la nomenclature des documents était une simple itération numérique, du document le plus ancien au plus récent.

Avertie vendredi, la FirstAm a fermé le service d’accès aux documents dans la soirée. Elle a bien sûr communiqué pour affirmer que la sécurité et la vie privée étaient de la « plus haute priorité », que des actions avaient été entreprises et que l’impact – « s’il y en a un » – était en cours d’évaluation.

Comme on s’en doute, ces informations seraient une vraie panacée pour les créateurs de phishing et autres arnaques par email. Les détails pourraient permettre de créer des courriers plus vrais que nature.