Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Fuite de 8 To (dont des données personnelles) au Figaro : « une erreur a été commise dans le paramétrage »Crédits : Yuri_Arcurs/iStock

Le pot aux roses a été découvert par SafetyDetectives.  Les informations se trouvaient sur un serveur Elasticsearch avec « plus de 8 To de données, soit environ 7,4 milliards de fichiers ».

L’équipe de chercheurs explique que « la base de données du Figaro contenait des journaux API pour ses sites Internet classique et mobile, datant des trois derniers mois ». Elle ajoute que cela comprend notamment « les données des utilisateurs ayant créé un compte d’abonnement sur le site Internet du Figaro entre février et avril 2020, ainsi que les données  des utilisateurs préexistants s’étant connectés à leurs comptes pendant cette période ».

Pire encore : « Dans le cas des nouveaux utilisateurs, les entrées incluaient les identifiants (mot de passe inclus) et des données personnelles. Pour les utilisateurs préexistants, les mots de passe sont restés secrets, mais leurs données personnelles ont également été exposées ».

Emails, noms, prénoms, adresses, IP et jeton d’accès se trouvaient ainsi dans le lot, mais aussi « les mots de passe des nouveaux utilisateurs, en clair, ainsi que leur empreinte MD5 ». « Du fait de la structure de ces données, le nombre exact de personnes concernées est incertain », explique SafetyDetectives.

Le Figaro s’est fendu d’un communiqué de presse. La société explique que l’origine de cette fuite vient d’une opération de maintenance avec la migration d’un serveur de logs le 8 avril : « une erreur a été commise dans le paramétrage de la sécurisation des accès [au serveur]. Celle-ci a rendu certaines données théoriquement accessibles du 8 au 28 avril 2020 ».

« Il s’agit d'informations parcellaires, très peu exploitables. Une fois identifiée, la faille a été immédiatement corrigée. Aucune fuite de données n’a, à ce stade, été constatée », ajoutent nos confrères. Une déclaration à la CNIL, rendue obligatoire par le RGPD, était en cours le 30 avril.

51 commentaires
Avatar de ndjpoye Abonné
Avatar de ndjpoyendjpoye- 04/05/20 à 08:32:58

"des journaux API" ? Quelqu'un peut me traduire SVP ?

Sinon, va falloir m'expliquer comment, de nos jours, on en est encore à garder trace de mot de passe en clair.

Édité par ndjpoye le 04/05/2020 à 08:34
Avatar de dylem29 Abonné
Avatar de dylem29dylem29- 04/05/20 à 08:53:34

"Serveur Elasticsearch"

C'est souvent ce type de serveurs qui ont un souci de fuite, ça serait pas plutôt ça le problème? :D

Avatar de Sabinoo INpactien
Avatar de SabinooSabinoo- 04/05/20 à 08:59:20

En 2020, ils stockent encore des mots de passe en clair ? Sérieusement ?

Avatar de Chiuchu INpactien
Avatar de ChiuchuChiuchu- 04/05/20 à 09:04:56

En gros, ElasticSearch est un système qui va rassembler les données destinées à être utilisées dans un moteur de recherche ou un moteur de reporting. Il va les rassembler dans une base de donnée optimisée pour la recherche ultra rapide (notamment la recherche multi facettes). Il est habituellement utilisé en mode API (vous tapez dans un endpoint). Tout ce que fait ElasticSearch est journalisé/consigné/tracé (loggué). Ces logs étaient accessibles et ils contenaient des mots de passe en clair, ce qui n'est pas une erreur mais une folie furieuse de la part de sociétés dont les prestataires/salariés/intervenants qui décident parfois de quand même continuer à traiter du mot de passe en clair pour x ou y raisons qui vont du voyeurisme à l'incompétence.

Le Figaro étant avant tout une dépendance de la DGSE/DGSI, tout comme Le Monde, Libé et 90% des médias libres mais subventionnés massivement par notre gouvernement très respectueux de la liberté d'opinion en général tant qu'elle se limite à celle de ses élites autosatisfaites, on peut penser que ces mots de passe en clair n'étaient peut-être pas là par incompétence, sans pouvoir l'affirmer, évidemment, tant la qualité française péréclite aussi vite que la probité de ce pays.
Édité par Chiuchu le 04/05/2020 à 09:08
Avatar de Zone démilitarisée Abonné
Avatar de Zone démilitariséeZone démilitarisée- 04/05/20 à 09:09:08

Il doit s'agir de la journalisation (l'historique) de tous les appels effectués par les clients (sites et appli) sur les interfaces (API) de l'infrastructure du Figaro qui les héberge.

Avatar de Chiuchu INpactien
Avatar de ChiuchuChiuchu- 04/05/20 à 09:12:12

PCInpact : rassurez nous, pas de mot de passe en clair ou de md5 chez vous, n'est-ce pas ?

Avatar de Gamble INpactien
Avatar de GambleGamble- 04/05/20 à 09:26:25

J'adore le communiqué de presse "informations parcellaires très peu exploitables", publié sur le twitter du groupe Figaro, et non pas sur le twitter du journal Le Figaro

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 04/05/20 à 09:27:10

une erreur a été commise dans le paramétrage de la sécurisation des accès

Ne pas mettre de mot de passe, je ne sais pas si on peut considérer que c'est une erreur de paramétrage :transpi:

Avatar de wiflye81 Abonné
Avatar de wiflye81wiflye81- 04/05/20 à 09:36:33

Pas vraiment, la sécurisation est possible par login / mot de passe via une seule ligne de commande.
Cette fonctionnalité payante à l'origine ne l'est plus sur les dernières versions depuis un an.
Bien sur après il faut changer le code de l'application qui y accède et la c'est le drame (pour diverses raisons ^^)
 

Avatar de flan_ Abonné
Avatar de flan_flan_- 04/05/20 à 09:40:25

Sabinoo a écrit :

En 2020, ils stockent encore des mots de passe en clair ? Sérieusement ?

Si je comprends bien l'article, il s'agit plutôt des logs des API, avec les URL requêtées par les utilisateurs.
Si le mot de passe est dans un paramètre de l'URL, il est enregistré indirectement.

Bref, ne jamais passer de valeurs sensibles dans un formulaire en GET, toujours passer par du POST…

Il n'est plus possible de commenter cette actualité.
Page 1 / 6