Une base de données du service civique exposait les données des utilisateurs

Samedi 30 mai, deux chercheurs en sécurité sont entrés en contact avec l’agence du service civique pour leur signaler qu’une de leur base de données était exposée librement sur Internet, sans demander la moindre authentification. Au total, les données de plus de 286 000 citoyens ayant participé au service civique étaient exposées par cette base de données. Celle-ci contenait des noms, prénoms, date de naissance et adresses e-mail, ainsi que dans certains cas des liens vers des CV : autant de données considérées comme des données personnelles et identifiables, et qui doivent donc être protégées.

La base de données a été découverte par le chercheur en sécurité Bob Diachenko, comme le rapporte le site américain Comparitech. Ce dernier a par la suite contacté le chercheur en sécurité français Baptiste Robert (@fs0c131y) qui l’a aidé à identifier la base de données en question et à contacter la direction du service civique. Il explique à Zdnet avoir vérifié tout d’abord la véracité des données avant de faire remonter l’information au cabinet de Gabriel Attal, secrétaire d’Etat auprès du ministre de l’Education nationale et de la Jeunesse, qui lui a ensuite permis de rentrer en contact avec la direction du service civique. La faille de sécurité a été corrigée « quelques heures » après la prise de contact, samedi 30 mai, selon Baptiste Robert.

« La fuite en question provient d’une base de données MongoDB laissée ouverte, sans authentification », explique le chercheur en sécurité. « Mercredi dernier, un prestataire de l’administration a fait une erreur de configuration en mettant en ligne la base de données sans mesure d’authentification, ce qui pouvait permettre à un tiers de consulter les données qu’elle contenait. »

Selon Diachenko, la base de données contenait différents jeux de données : un premier jeu contenait les données de 286 000 citoyens ayant participé au service civique. Ce jeu de données contenait uniquement leurs noms et dates de naissance. Un second jeu contenait 373 000 entrées, et regroupait les données de l’application ELISA : cette application sert à la gestion dématérialisée des contrats entre les volontaires du service civique et les entreprises qui souhaitent les employer. Ce jeu de données contenait donc des données concernant les entreprises participantes (n° de siret, contrats et documents) en plus des données relatives aux volontaires. Enfin, un troisième jeu de données contenait les informations de connexions au site et à l’intranet, et contenait plus d’un million d’entrées. Ce jeu de données contenait des adresses e-mails, noms et mots de passe des utilisateurs inscrits sur la plateforme.

Plus de peur que de mal

L’agence du service civique s’est montrée « très réactive » pour combler la faille, selon Baptiste Robert. « Effectivement, leur prestataire a fait une erreur, mais dans l’ensemble la réaction de l’agence des services civiques a été plutôt bonne. On a évité le pire, c’est à dire le rançonnage des données par un tiers malveillant », poursuit le chercheur en sécurité. C’est en effet une pratique qui s’est popularisée au cours des derniers années : les attaquants profitent de la profusion de bases de données MongoDB mal configurées pour supprimer les données et faire du chantage aux entreprises, en laissant une note de rançon qui offre de récupérer une copie des données supprimées par les attaquants en échange de quelques bitcoins.

Dans un communiqué relayé par Comparitech, l’agence du service civique indique avoir colmaté la faille de sécurité et alerté la CNIL de cette exposition de données. L’agence indique n’avoir détecté aucune activité malveillante et promet un audit de sécurité de ses systèmes.

Une question reste néanmoins en suspens pour les deux chercheurs : si aucune activité malveillante n’a été détectée, Bob Diachenko indique néanmoins qu’une adresse IP inconnue, n’appartenant ni à lui ni à Baptiste Robert, s’est connectée à la base de donnée trois jours avant la découverte de celle-ci par Bob Diachenko. Cela correspond à la date d’indexation de la base de données par le moteur de recherche Shodan.io, ce qui pourrait laisser penser qu’un tiers avait repéré la base de données en question avant les chercheurs en sécurité. Nous avons contacté l’agence du service civique au sujet de cette exposition de données et l’article sera mis à jour pour ajouter leur réponse.