Hier, nous avons été informés que le portail de France Info était un peu trop bavard et laissait fuiter des données personnelles, comme nous avons pu le constater depuis. Parmi les éléments accessibles à tout le monde, on retrouve des adresses IP, des horaires de connexion et parfois un compte mail associé.
Des emails et des adresses IP en vadrouille chez France Inter
Sale temps pour la sécurité informatique depuis quelques mois puisque de nombreux sites web ont été victimes de fuites de données, plus ou moins importantes. On pense notamment à la faille Heartbleed d'OpenSSL, mais il y a également eu le cas d'Orange et celui de LaCie, ce dernier étant un peu particulier puisque le piratage a duré près d'un an.
C'est désormais au tour du site de France Info d'être victime d'une fuite de données personnelles. Via une simple URL ou une recherche Google, il est en effet possible de récupérer diverses informations provenant des visiteurs qui passent sur le site de la radio. Cela comprend dans tous les cas l'adresse IP, l'heure et la date du relevé, la plateforme utilisée ainsi que l'User Agent du navigateur. De plus, pour les utilisateurs connectés, l'adresse email est parfois disponible.
Attention aux campagnes de phishing qui pourraient en découler
Lors de nos différentes investigations, nous avons pu constater que cela touchait de très nombreux utilisateurs entre 2013 et 2014, mais cela remonte même parfois plus loin (nous avons détecté des cas jusqu'en octobre 2012). À l'heure où nous écrivons ces lignes, la faille est toujours présente.
Comme dans le cas d'Orange, des personnes malintentionnées pourraient en profiter pour lancer des campagnes de phishing en se faisant passer pour France Info, adresse IP et date de passage sur le site à l'appui. De plus, et comme le soulignent nos confrères de Zataz, cela pourrait également être le début d'une campagne ciblée sur les utilisateurs d'Internet Explorer qui est actuellement victime d'une faille de type « 0-day ».
Radio France confirme, la migration des serveurs serait en cause
Dans l'après-midi, nous avons pu nous entretenir avec Joël Ronez, directeur des nouveaux médias de Radio France. Ce dernier nous a confirmé l'existence de la faille expliquant qu'elle est apparue suite à un changement d'hébergeur lancé il y a trois semaines, tandis que la régie de publicité passait de France Television Publicité à l'Express.
Et, comme nous avions pu le constater, Joël Ronez précise que la faille est liée au serveur de publicité qui s'occupe des autopromos. En effet, un « tracking » des utilisateurs est en place et ce sont justement les informations liées à cela qui sont accessibles.
Les utilisateurs potentiellement touchés seront contactés
Quoi qu'il en soit, Joël Ronez nous confirme que des correctifs ont déjà été mis en place, mais que certaines pages sont encore accessibles, néanmoins tout devrait rentrer dans l'ordre d'ici ce soir. Dans tous les cas, une nouvelle version du site (sous Drupal 7) sera mise en ligne mardi prochain et ses pages n'existeront alors plus du tout.
Alors que Zataz avait informé dès hier soir France Info, le directeur admet clairement que ces services n'ont pas été suffisamment réactifs pour colmater la fuite, et ce, à tous les niveaux. La faute selon lui incombant à la migration des serveurs qui occupe tout le monde.
Sachez enfin que France Info revendique environ 10 000 comptes utilisateurs, et donc autant d'adresses email susceptible de se retrouver dans la nature. Pour autant, certaines n'étaient pas affichées en totalité puisque la fin (avant l'@) était remplacée à des « ... ». Toujours est-il que tous les utilisateurs potentiellement concernés seront ultérieurement informés par email, probablement via la Newsletter.
Commentaires (42)
#1
Pas bête la relation avec la fail d’Internet Explorer " />
Est-ce que finalement il y aura une sensibilisation des masses et des médias quant à la sécurité sur internet ?
Du coup, c’est tout le groupe Radio France qui est concerné non ?
#2
Normalement dans ce cas, il faut pas publier des news sur leur faille, tant qu’ils ne l’ont pas comblée… de plus en fonction de vos investigations vous pouvez vous retrouver avec une plainte pour hacking (connais plus les termes juridiques fr). J’espère que ce sera pas le cas.
#3
#4
#5
#6
Et un chômeur de plus, un…." />
#7
#8
#9
nous avons détecté des cas jusqu’en octobre 2012
Ils ont le droit de garder ces données si longtemps ?
#10
Je parie qu’ils vont incriminer soit un stagiaire ou une société extérieur … " />
De toute façon les infos du navigateur sont a prendre avec des pincettes : Pour l’instant, on vois que j’utilise firefox avec windows 7 … alors que j’utilise windows XP " />
#11
Via une simple URL ou une recherche Google, il est en effet possible de récupérer diverses informations provenant des visiteurs qui passent sur le site de la radio.
C’est vague ! C’est pas possible d’en savoir plus ?
Car vu les captures, ça m’a tout l’air d’un oubli de désactivation du mode debug.
#12
Bon ça va il n’y avait que 10 comptes réels sur le site de France Info donc les risques restent limités ^^
#13
#14
Merci d’éviter de poster des liens vers la recherche en question " />
#15
Ahah ! Mes commentaires avec des liens Google supprimés… " />
Comme quoi Google est vraiment considéré, au tribunal ou sur NextInpact, comme une arme de pirate ! Je comprends mieux la condamnation de Bluetouff… " />
#16
#17
#18
#19
Et la CNIL dans tout cela ? Elle n’est pas censée intervenir quand un SI est touché et que des données perso sont dévoilées ?
#20
#21
#22
#23
Si l’info est déjà connue et relayée par de nombreux sites, pourquoi cacher des choses?
(je ne parle pas d’un “howto”, ni de ce cas particulier)
HeathBleed est l’exemple parfait.
A contrario, si c’est une info “PCI” (un lecteur tombe dessus et vous informe, ou vous trouvez ca tout seul) j’ose espérer que FranceInfo à été prévenu avant.
Enfin, je n’ai pas d’avis tranché sur le full disclosure.
Tout dépend de la gravité de la faille, et de la réaction de l’éditeur.
Si il traine des pieds pour corriger, à un moment, il faut “frapper” , non?
#24
#25
une nouvelle version du site (sous Drupal 7)
Tout s’explique ! " />
#26
Le tracking publicitaire récupère l’adresse mail de l’utilisateur … " />
#27
#28
#29
#30
#31
#32
#33
#34
[HS]
declarations-patrimoine.gouvernement.fr
Fini la “transparence”, retour aux petites " /> de comptes à l’étranger ?
[/HS]
#35
#36
On ne m’a jamais dit que France Info était crypté j’aurais entendu les parasites à la place " />
#37
Un truc dingue que je viens de découvrir sur YT pour ceux qui aime Robert Fripp (King Crimson) (ça)
#38
Ils n’auraient pas simplement pu mettre leur site hors-ligne, dès l’info reçue, et reflechir à reprendre leur buisness d’assistés par l’impôt, après? " />