Dividom a laissé fuiter des centaines de documents personnels

Dividom a laissé fuiter des centaines de documents personnels

Des PDF élevés en plein air

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

19/09/2018 4 minutes
11

Dividom a laissé fuiter des centaines de documents personnels

Un site d'investissement immobilier n'a pas protégé deux répertoires contenant des centaines de documents personnels, dont des pièces d'identité. Dividom a comblé la fuite, la justifiant par un changement de directeur technique et de système. La Cnil n'avait pas été avertie.

Le site d'investissement immobilier Dividom a laissé accessibles deux dossiers contenant près de 20 000 fichiers, dont quelques centaines contenaient des données personnelles. Parmi eux, environ 400 pièces d'identité (cartes d'identité, passeports...) et 150 relevés d'identité bancaire (RIB), selon la société et un chercheur en sécurité, interrogés. Nous avons pu en consulter un échantillon, qui comprenait aussi un bulletin de paie et une facture d'eau.

Le premier dossier a été signalé à Dividom le 11 juillet par Sysdream, une société de cybersécurité, et le second le 1er août par un chercheur en sécurité canadien, « Marc », selon des échanges que nous avons consultés. Le premier dossier a été mis hors ligne le 2 août. Le second l'aurait été le 9 août, une semaine après le signalement, selon le chercheur.

Deux dossiers, dont un « bucket S3 » doublon

La jeune pousse a donc d'abord été avertie par Sysdream. « Nous avons été un peu surpris du nombre de documents. Dans le tas, énormément ne sont absolument pas des documents de clients. On n'a pas 20 000 clients, même si on aimerait bien ! » nous assure Maxime Duhamelle, cofondateur de Dividom, dans un entretien fin août.

La majeure partie des documents « concerne nos sociétés civiles immobilières que nous gérons (statuts, relevés, facture de travaux, courriers, diagnostics...) », ajoute la société. « La plupart [des documents] étaient des reçus et contrats avec seulement les noms et signatures » répond pour sa part « Marc ».

Contacté, Sysdream n'a pas répondu à nos sollicitations.

Début août, « Marc » a découvert un miroir du premier dossier, dans un « bucket » Amazon S3 (espace de stockage), le signalant après quelques heures. « On m'a averti qu'un autre dossier (dupliqué du dossier public) était accessible. Je l'ai supprimé dans la foulée, puisque inutilisé » nous confirme Maxime Duhamelle.

Le 23 août, « Marc » faisant état de sa découverte sur Reddit.

Le chercheur a exploité l'outil dédié Gray Hat Warfare, qui répertorie ces dossiers ouverts sur Amazon S3, en quête de telles bévues.  « La plupart des chercheurs semblent opérer dans la sphère anglophone, alors je me suis dit que ça vaudrait le coup de chercher des entreprises ailleurs » nous répond-il.

« Pour le meilleur et pour le pire, [cet outil] rend la découverte de ces fuites très facile. Une personne avec des connaissances informatiques de base aurait pu facilement tomber sur tous ces documents et les utiliser dans des buts inavouables » estime le chercheur.

Maxime Duhamelle justifie cette fuite : « Nous avons changé de directeur technique il y a un an et demi. Nous avons complètement changé le site. Deux systèmes coexistaient, ces documents étaient sur l'ancien système ». Sa durée concrète n'est pas connue.

La Cnil n'était pas au courant

Dividom n'a pas averti la Cnil de cette fuite, ce que nous confirme la commission. La société nous assure avoir chargé son avocat de cette procédure après notre entretien. En vertu du Règlement général sur la protection des données (RGPD), toute fuite de données dangereuse doit être notifiée dans les meilleurs délais à la Cnil, si possible dans les 72 heures après sa découverte.

« La Cnil veille au respect des obligations. Nous allons attendre de voir ce qu'ils vont nous dire » nous répondait l'institution fin août. Aucune sanction publique n'a été prise précédemment contre la société. Elle refuse de révéler si une sanction sans publicité a déjà été prononcée.

Nous avons demandé des détails supplémentaires à Dividom ces derniers jours, pour vérifier certaines dates et si le premier dossier épinglé était un espace de stockage S3 ou non. Malgré la promesse de réponses le 17 septembre, Maxime Duhamelle était injoignable cette journée et le lendemain.

11

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Deux dossiers, dont un « bucket S3 » doublon

La Cnil n'était pas au courant

Commentaires (11)


j’ai testé au hasard le lien pour explorer tous les S3 ouvert je tombe sur des dizaines de démarches de carte grises françaises…


effectivement c’est complètement fou le nombre de documents totalement privés qu’on trouve en quelques minutes avec certains mots clés…




On n’a pas 20 000 clients, même si on aimerait bien !





Voilà la publicité qu’il leur fallait <img data-src=" />


Fuire existe.



Fuiter n’existe pas


AWS met bien en avant quand les S3 sont publiques, c’est criminel.


&nbsp;exactement, cadox, une simple vérification dans un dico en ligne t’aurait détrompé :



https://www.larousse.fr/dictionnaires/francais/fuiter/10910309


désolé, double post


En effet, il est peut être récent alors, merci pour ta recherche.

L’image portée par le mot fuire est si explicite que je ne comprends pas l’intérêt de cet autre mot que je trouve très moche.

On s’ennuit tant que ça à l’académie française?

&nbsp;


il m’a fallu 30sec pour trouver une carte d’identité francaise, scarry


Pour le coup l’académie n’a fait que remarquer l’usage de la langue.