Une base de données contenant des centaines de milliers d’informations sur les contrats des volontaires du programme, mais aussi plus d’un million de noms, d’adresses e-mail et de mots de passe des utilisateurs qui se sont inscrits sur le site Web du dispositif a été exposée.

Le 30 mai dernier, l’équipe de recherche en sécurité de Comparitech, dirigée par l’expert en cybersécurité Bob Diachenko, a découvert la base de données accessible en ligne et l’a signalé aux responsables du Service Civique français le jour même. L’organisation a réagi rapidement en sécurisant le serveur exposé quelques heures plus tard.

Le Service Civique français précise à Comparitech qu’un sous-traitant avait exposé la base de données d’anciens volontaires ayant profité du dispositif :

Le samedi 30 mai à 15 h 30, l’Agence du Service Civique a été alertée qu’une faille de sécurité avait été détectée dans le système d’un de nos sous-traitants et avait permis l’accès à une base de données personnelle d’anciens volontaires du Service Civique. Immédiatement, l’Agence du Service Civique a fait tout le nécessaire pour trouver l’origine de la faille et pour la sécuriser. L’accès à la base de données a été bloqué dès 19 h le samedi 30 mai.

Il s’agissait d’une plateforme de test, et non de notre site Web, sur laquelle un de nos sous-traitants avait chargé notre base de données sans système sécurisé approprié le 25 mai. Notre enquête sur l’historique des accès non autorisés à cette base de données montre qu’à notre connaissance, aucune intrusion malveillante ne s’est produite sur la plateforme. Le rapport d’incident a été transmis à la Commission Nationale de l’Informatique et des Libertés (CNIL) et le ministère responsable a été informé tout au long de notre enquête. Un audit complet de l’ensemble de nos systèmes sera effectué. Nous nous sommes engagés à maintenir notre sensibilisation à la cyberhygiène.

Chronologie de l’exposition des données

Au total, la base de données a été exposée pendant cinq jours :

25 mai 2020 : Un sous-traitant travaillant pour le compte du Service Civique déploie la base de données

27 mai 2020 : La base de données exposée est indexée par le moteur de recherche Shodan.io

30 mai 2020 : Bob Diachenko découvre la base de données et contacte Baptiste Robert, chercheur en sécurité français, qui porte alors l’incident à l’attention du Service Civique

30 mai 2020 : Les données exposées sont sécurisées environ trois heures après la révélation de Diachenko

Même si le Service Civique français a déclaré qu’aucune intrusion malveillante n’a eu lieu, nous ne sommes pas en mesure de confirmer qu’aucun tiers non autorisé n’a pu accéder aux données.

Quelles ont été les données exposées ?

La base de données MongoDB, ouverte et non protégée, contenait plusieurs ensembles de données, dont :

  • 373 892 données sur les volontaires, notamment les Informations sur le contrat ELISA. ELISA (Extranet local pour l’indemnisation et le suivi des accueils de volontaires en service civique) est le nom du téléservice utilisé pour autoriser les organisations qui souhaitent engager des volontaires par l’intermédiaire du Service Civique et pour gérer les contrats et le paiement entre ces organisations et les volontaires. Les informations contenues dans ces documents comprennent :
    • Noms et prénoms des deux parties
    • Numéros SIRET
    • Conditions du service civique
    • Documents et liens internes
  • Plus d’un million de données des utilisateurs du site Web, notamment :
    • Adresses e-mail
    • Noms et prénoms
    • Mots de passe des comptes
  • Un annuaire détaillé comprenant 1 913 contacts avec :
    • Adresses et numéros de rue
    • Numéros de téléphone
    • Adresses e-mail

Dangerosité des données exposées

Bien que le Service Civique affirme qu’aucune intrusion malveillante n’a été détectée, nous recommandons vivement aux utilisateurs et aux organisations concernés de prendre toutes les mesures qui s’imposent afin de se protéger dans l’éventualité où des cybercriminels auraient accès aux données exposées.

Les fuites de mots de passe sont les plus inquiétantes. Les utilisateurs concernés doivent immédiatement modifier le mot de passe de leur compte sur le site Web. De plus, si l’utilisateur utilise cette même combinaison mot de passe et adresse e-mail pour un autre compte ou service, il est indispensable de modifier ces identifiants afin d’éviter tout piratage.

Toute personne dont les coordonnées auraient été divulguées doit rester vigilante et se méfier de potentiels e-mails d’hameçonnage qui pourraient être envoyés par des cybercriminels se faisant passer pour des membres du Service Civique ou des organisations affiliées.

Pourquoi avons-nous signalé cette exposition de données ?

Comparitech collabore avec le chercheur en sécurité Bob Diachenko afin d’identifier et de signaler les cas d’exposition de données personnelles en ligne. Lorsque nous trouvons, par exemple, une base de données non sécurisée contenant des informations sensibles, nous essayons immédiatement de savoir à qui appartiennent ces données, les personnes qui peuvent être concernées, le type d’information exposé, et toutes les conséquences potentielles qui pourraient découler d’une fuite de ces données.

Notre objectif n’est pas de dénoncer et de montrer du doigt les organisations en pointant leurs défaillances en matière de sécurité. Au contraire, notre objectif est d’éviter que les personnes concernées soient victimes d’usurpation d’identité, de campagnes d’hameçonnage et d’autres attaques malveillantes directement dues à l’exposition de leurs données. C’est la raison pour laquelle, avant de publier nos conclusions, nous contactons les propriétaires des bases de données et nous nous assurons que celles-ci ne sont plus accessibles avant de communiquer.

Précédents rapports

Cette fuite de donnée est loin d’être un cas isolé. Par le passé, notre équipe a découvert plusieurs incidents similaires, notamment lorsque :