Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser les commentaires pour donner votre avis, ou la page de contact pour nous contacter. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Fuite massive de données pour le géant de la beauté Estée Lauder (MAC, Michael Kors...) : est-ce grave ?

L'entreprise derrière Clinique et Michael Kors a laissé des millions de données en libre accès sur internet. Mais elles ne concernent apparemment pas les clients. En revanche, plusieurs données liées au réseau faisaient partie de la fuite et permettraient de mener des cyberattaques. 

Le nombre donne le vertige : 440 millions de données de Estée Lauder étaient exposées en ligne. Le géant des produits de beauté se trouve derrière une vingtaine d'entreprises, parmi lesquelles Clinique, MAC, Tommy Hilfiger ou encore Michael Kors. Grâce à cet empire, il dégage un chiffre d'affaires annuel de plus de 14,8 milliards de dollars.

Le chercheur en cybersécurité Jeremiah Fowler a découvert cette fuite le 30 janvier et elle a été réparée presque immédiatement par le fabricant. S'il donne plusieurs informations sur la fuite, il laisse cependant de nombreuses zones d'ombres. Difficile donc d'estimer avec précision ses conséquences.

Que s'est-il passé ?

Le 30 janvier, Jeremiah Fowler a découvert une base de données non protégée. Elle donnait accès à précisément 440 336 852 de lignes de données. En s'y penchant de plus près, le chercheur a conclu que la base contenait des données de Estée Lauder. Toute personne qui disposait de l'adresse de la base pouvait y accéder librement, sans mot de passe. Le tout sans compétence technique, avec seulement une connexion internet.

Le chercheur affirme avoir immédiatement contacté l'entreprise, non sans difficulté : « après avoir appelé tous les numéros de téléphone que j'ai pu trouver, j'ai enfin réussi à être en contact avec quelqu'un, qui m'a promis qu'il passerait l'information. » En revanche, il salue l'attitude et la réactivité des principaux concernés pour réparer cette fuite dans la journée. Aucune trace d'utilisation malveillante de ces données n'a pour l'instant été découverte.

Il a publié ses trouvailles le 11 février 2020, une fois passés les délais de sécurité.

Quelles données étaient exposées ?

Le chercheur ne sait pas avec précision pendant combien de temps ces données ont été exposées.

Quels sont les risques si une personne malveillante met la main sur ces données ?

La fuite offre plusieurs informations précieuses pour les malfaiteurs : par exemple quelles versions des logiciels sont utilisées, ou comment circule l'information. Ils peuvent ainsi mieux préparer leurs attaques.

Jeremiah Fowler prévient : avec les millions de données liées au middleware utilisé par Estée Lauder, des hackers pourraient créer un chemin -- une backdoor -- qui leur permettrait déployer des logiciels malveillants. Ils pourraient ensuite voler ou prendre en otage des données de l'entreprise.

En revanche, le risque direct pour les clients paraît limité, puisque leurs informations directes n'étaient vraisemblablement pas accessibles.

Suis-je concerné ?

Si vous résidez sur le territoire de l'Union européenne, vous êtes protégé par le RGPD, et une entreprise victime d'une fuite aura  l'obligation de vous avertir. Vous devriez donc être contacté si vos données ont été exposées, mais Estée Lauder a affirmé qu'il n'y avait pas de données clients.