Le Service Civique français stellt 1,4 Millionen Benutzerdaten

Une base de données contenant des centaines de milliers d’informations sur les contrats des volontaires du programme, mais aussi plus d’un million de noms, d’adresses e-mail et de mots de passe des utilisateurs qui se sont inscrits sur le site Web du dispositif a été exposée.

Le 30 mai dernier, l’équipe de recherche en sécurité de Comparitech, dirigée par l’expert en cybersécurité Bob Diachenko, a découvert la base de données accessible en ligne et l’a signalé aux responsables du Service Civique français le jour même. L’organisation a réagi rapidement en sécurisant le serveur exposé quelques heures plus tard.

Le Service Civique français précise à Comparitech qu’un sous-traitant avait exposé la base de données d’anciens volontaires ayant profité du dispositif :

Le samedi 30 mai à 15 h 30, l’Agence du Service Civique a été alertée qu’une faille de sécurité avait été détectée dans le système d’un de nos sous-traitants et avait permis l’accès à une base de données personnelle d’anciens volontaires du Service Civique. Immédiatement, l’Agence du Service Civique a fait tout le nécessaire pour trouver l’origine de la faille et pour la sécuriser. L’accès à la base de données a été bloqué dès 19 h le samedi 30 mai.

Il s’agissait d’une plateforme de test, et non de notre site Web, sur laquelle un de nos sous-traitants avait chargé notre base de données sans système sécurisé approprié le 25 mai. Notre enquête sur l’historique des accès non autorisés à cette base de données montre qu’à notre connaissance, aucune intrusion malveillante ne s’est produite sur la plateforme. Le rapport d’incident a été transmis à la Commission Nationale de l’Informatique et des Libertés (CNIL) et le ministère responsable a été informé tout au long de notre enquête. Un audit complet de l’ensemble de nos systèmes sera effectué. Nous nous sommes engagés à maintenir notre sensibilisation à la cyberhygiène.

Chronologie de l’exposition des données

Au total, la base de données a été exposée pendant cinq jours :

25 mai 2020 : Un sous-traitant travaillant pour le compte du Service Civique déploie la base de données

27 mai 2020 : La base de données exposée est indexée par le moteur de recherche Shodan.io

30 mai 2020 : Bob Diachenko découvre la base de données et contacte Baptiste Robert, chercheur en sécurité français, qui porte alors l’incident à l’attention du Service Civique

30 mai 2020 : Les données exposées sont sécurisées environ trois heures après la révélation de Diachenko

Même si le Service Civique français a déclaré qu’aucune intrusion malveillante n’a eu lieu, nous ne sommes pas en mesure de confirmer qu’aucun tiers non autorisé n’a pu accéder aux données.

Quelles ont été les données exposées ?

La base de données MongoDB, ouverte et non protégée, contenait plusieurs ensembles de données, dont :

  • 373 892 données sur les volontaires, notamment les Informations sur le contrat ELISA. ELISA (Extranet local pour l’indemnisation et le suivi des accueils de volontaires en service civique) est le nom du téléservice utilisé pour autoriser les organisations qui souhaitent engager des volontaires par l’intermédiaire du Service Civique et pour gérer les contrats et le paiement entre ces organisations et les volontaires. Les informations contenues dans ces documents comprennent :
    • Noms et prénoms des deux parties
    • Numéros SIRET
    • Conditions du service civique
    • Documents et liens internes
  • Plus d’un million de données des utilisateurs du site Web, notamment :
    • Adresses e-mail
    • Noms et prénoms
    • Mots de passe des comptes
  • Un annuaire détaillé comprenant 1 913 contacts avec :
    • Adresses et numéros de rue
    • Numéros de téléphone
    • Adresses e-mail

Dangerosité des données exposées

Bien que le Service Civique affirme qu’aucune intrusion malveillante n’a été détectée, nous recommandons vivement aux utilisateurs et aux organisations concernés de prendre toutes les mesures qui s’imposent afin de se protéger dans l’éventualité où des cybercriminels auraient accès aux données exposées.

Les fuites de mots de passe sont les plus inquiétantes. Les utilisateurs concernés doivent immédiatement modifier le mot de passe de leur compte sur le site Web. De plus, si l’utilisateur utilise cette même combinaison mot de passe et adresse e-mail pour un autre compte ou service, il est indispensable de modifier ces identifiants afin d’éviter tout piratage.

Toute personne dont les coordonnées auraient été divulguées doit rester vigilante et se méfier de potentiels e-mails d’hameçonnage qui pourraient être envoyés par des cybercriminels se faisant passer pour des membres du Service Civique ou des organisations affiliées.

Pourquoi avons-nous signalé cette exposition de données ?

Comparitech collabore avec le chercheur en sécurité Bob Diachenko afin d’identifier et de signaler les cas d’exposition de données personnelles en ligne. Lorsque nous trouvons, par exemple, une base de données non sécurisée contenant des informations sensibles, nous essayons immédiatement de savoir à qui appartiennent ces données, les personnes qui peuvent être concernées, le type d’information exposé, et toutes les conséquences potentielles qui pourraient découler d’une fuite de ces données.

Notre objectif n’est pas de dénoncer et de montrer du doigt les organisations en pointant leurs défaillances en matière de sécurité. Au contraire, notre objectif est d’éviter que les personnes concernées soient victimes d’usurpation d’identité, de campagnes d’hameçonnage et d’autres attaques malveillantes directement dues à l’exposition de leurs données. C’est la raison pour laquelle, avant de publier nos conclusions, nous contactons les propriétaires des bases de données et nous nous assurons que celles-ci ne sont plus accessibles avant de communiquer.

Précédents rapports

Cette fuite de donnée est loin d’être un cas isolé. Par le passé, notre équipe a découvert plusieurs incidents similaires, notamment lorsque :

Derniers Guides
Statistiques et données sur la cybercriminalité en 2018-2022 janvier 4, 2023 / par Sam Cook Comment testons-nous les outils antivirus chez Comparitech ? mars 25, 2022 / par Sam Cook Statistiques & données factuelles sur le cyberharcèlement pour la période 2018-2024 octobre 18, 2021 / par Sam Cook
Derniers Antivirus
Les 14 meilleurs antivirus pour Windows 10 en 2022 avril 1, 2022 / par Sam Cook Meilleurs programmes antivirus pour Mac mars 31, 2022 / par Claire McManus
Derniers French
Installer et utiliser Meta Threads avec un VPN depuis l’UE juillet 24, 2023 / par Ian Garland Comment regarder la Coupe du Monde Féminine 2023 gratuitement en ligne ? juillet 18, 2023 / par Ian Garland Les 6 meilleurs VPN pour Apple TV 2024 avril 14, 2023 / par Paul Bischoff Meilleurs VPN avec Zéro Lag pour les Gamers : Optimisez Votre Expérience de Jeu avril 12, 2023 / par Craig McCart Les meilleurs VPN pour Xbox One et comment configurer votre VPN mars 27, 2023 / par Stephen Cooper
Derniers Kodi
Regarder la NFL sur Kodi : les meilleures extensions en 2024 août 11, 2022 / par Paul Bischoff 18 extensions Kodi idéales pour regarder la TV et des films avril 27, 2019 / par Paul Bischoff Comment installer Kodi sur Firestick et Amazon Fire TV septembre 20, 2018 / par Paul Bischoff
Derniers Sécurité de l'Information
Plus de 15 statistiques sur les escroqueries sentimentales Célibataires, méfiez-vous ! janvier 4, 2023 / par Aimee O'Driscoll Statistiques sur la cybersécurité et la cybercriminalité au Canada (2020-2021) novembre 29, 2021 / par Aimee O'Driscoll Usurpation d’identité – statistiques & informations : 2019-2021 septembre 24, 2021 / par Sam Cook Fuite de données : Le Service Civique français expose 1,4 million de données utilisateurs sur le Web, y compris les informations personnelles des volontaires juin 2, 2020 / par Paul Bischoff Le guide simplifié de la sécurité informatique et Internet janvier 16, 2019 / par Jon Watson
Derniers Streaming de Sport
Comment regarder les matchs de la NFL en direct en ligne à l’étranger février 9, 2023 / par Ian Garland Regarder gratuitement la Coupe du monde de la FIFA 2022 en ligne et en direct octobre 31, 2022 / par Ian Garland Les meilleurs VPN pour le NFL Game Pass septembre 12, 2022 / par Ian Garland Comment regarder le MotoGP en direct gratuitement en ligne 2024 février 8, 2022 / par Ian Garland Comment regarder les Jeux Olympiques d’hiver 2022 sur internet février 2, 2022 / par Ian Garland
Derniers TV en Streaming
Statistiques sur le temps d’écran : Temps d’écran moyen aux États-Unis et dans le reste du monde janvier 3, 2023 / par Rebecca Moody Comment regarder Demon Slayer en streaming juillet 25, 2022 / par Ray Walsh Comment regarder Naruto partout dans le monde en 2024 juillet 25, 2022 / par Ray Walsh Comment regarder Yuri on Ice gratuitement juillet 25, 2022 / par Mark Gill Regarder la saison 4 de L’Attaque des Titans en ligne partout dans le monde juillet 25, 2022 / par Ian Garland
Derniers VPN & Confidentialité
Top 5 des VPN Pas Chers en 2024 mars 27, 2023 / par Osman Husain Meilleurs VPN pour Firefox en 2024 (avec add-ons ou compatibles avec le navigateur) mars 27, 2023 / par Aimee O'Driscoll Les 6 meilleurs VPN pour la Belgique en 2024 mars 20, 2023 / par Osman Husain Comment contourner les restrictions du NBA League Pass (solution VPN) février 22, 2023 / par Mark Gill Comment débloquer DraftKings Fantasy Sports en France avec à un VPN ? février 20, 2023 / par Chris Stobing