Une erreur dans le texte ?

Un hacker vend 629 000 profils d'une app de rencontre française, mais ce n'est pas si grave

Le 22 décembre, un utilisateur caché derrière un pseudonyme mettait à la vente des données appartenant à Waiter, une jeune app de rencontre française. Le hacker a déposé son annonce sur le plus connu des forums de vente de données : pas besoin d'aller sur le « dark web » pour y accéder, le marché noir est accessible par une simple recherche Google.

Le vendeur exigeait un prix modeste : 8 crédits, la monnaie de la plateforme, soit l'équivalent de 2 euros. Autrement dit, n'importe qui pouvait -- et peut encore -- se procurer la base. En général, deux cas de figure expliquent les petits prix des jeux de données : soit la base a déjà largement circulé et été exploitée par les malfaiteurs qui l'ont eu en première main, soit le contenu n'a que trop peu de valeur à cause du nombre de données ou de leur qualité.

Cyberguerre a pu consulter la base de données, envoyée par la même source qui nous a averti de la vente. À l'intérieur du jeu de données se trouve l'intégralité des près de 630 000 profils utilisateurs de l'app. Le détail de chaque profil varie en fonction des informations renseignées par les utilisateurs.

A minima, il indique le prénom, l'âge, le genre et le pays de résidence, mais on peut aussi y trouver d'autres informations comme le niveau d'études, l'orientation sexuelle, le type de relation recherchée, la taille, le poids, si la personne a des enfants ou des animaux, ou encore des coordonnées GPS... En tout, Waiter propose de renseigner jusqu'à 50 « critères d'affinité ».

Heureusement, la base ne contient pas d'éléments qui permettent de facilement identifier les utilisateurs :  elle n'indique ni les noms de famille, ni les adresses email, ni les numéros de téléphone. Ce manque de données personnelles la rend plus difficilement exploitable par d'éventuels acheteurs, et pourrait expliquer son faible prix.

Problème corrigé, dégâts limités

Le 12 janvier, après avoir pris connaissance de la vente, Cyberguerre a contacté Sébastien Pigati, cofondateur de l'app, pour l'avertir. Le dirigeant s'est rendu disponible dans la foulée pour un appel. Étonné par l'incident, il a énuméré les protections mises en place par son entreprise, avant de conclure qu'il mènerait une enquête interne pour identifier l'origine de la fuite, et savoir si elle était toujours ouverte.

Dans la soirée, l'autre cofondateur, Yves Nevchehirilian, chargé des aspects techniques de l'app, identifiait le problème. Pas de piratage complexe, mais un serveur Elastic Search resté ouvert, une erreur particulière commune. Dit autrement, l'emplacement où étaient stockés les profils n'avait aucune protection (comme un mot de passe), et donc n'importe quelle personne qui trouvait son adresse pouvait en télécharger le contenu. Des chercheurs ont constaté que de nombreux hackers, malveillants comme bienveillants, passent leurs journées à surveiller les Elastic Search ouverts, et qu'ils sont donc rapidement découverts. Il n'est donc pas surprenant qu'une ou plusieurs personnes aient repéré celui-ci. Une fois l'adresse trouvée, le visiteur n'a plus qu'à télécharger les centaines de milliers de profils, puis à les mettre à la vente. Le vol n'aura probablement duré qu'à peine quelques minutes.

Sébastien Pigati nous a confirmé que le problème de sécurité a immédiatement été corrigé. Et finalement, Waiter s'en sort à moindres frais, en partie grâce aux précautions prises par l'entreprise dans sa gestion des données. Parmi celles-ci, un principe basique, mais trop rarement appliqué : ne pas mettre tous ses œufs (ou plutôt, données) dans le même panier, afin de limiter les dégâts en cas de fuite. Le dirigeant de l'app de rencontre s'en félicite : « C'est l'intérêt pour toute entreprise de différencier les bases de données afin d'éviter que les données sensibles soient touchées. Le cloisonnement a montré ici son efficacité avec l'accès uniquement à des critères de recherche sans intérêt et sans lien avec l'identité d'un utilisateur, ni ses coordonnées, ni les données bancaires. » Il précise que les données plus sensibles (mots de passe, moyens de contact, noms de famille, informations bancaires) sont stockées autre part, et leur accès est protégé par des clés d'authentification.

La quantité de données importe moins que la qualité

La fuite n'est pas complètement anodine, même si elle contient peu d’informations d’identification. Il existe des cas de figure -- certes compliqués à mettre en place -- dans lesquels elle pourrait être exploitée. Par exemple, un malfaiteur pourrait se servir de la base de données comme preuve de l'homosexualité d'une personne, et l’utiliser pour la faire chanter dans le cas où cette personne ne voudrait pas le dire à ses proches.

Pour parvenir à ses fins, l’éventuel maître chanteur devrait cependant croiser les informations de la base avec d'autres données, plus qualitatives et identifiantes, récupérées autre part. Or, le plus souvent, les malfrats préfèreront la simplicité, et s'éviteront une manipulation chronophage. Dernier point : les données contenues dans la base sont accessibles publiquement aux utilisateurs de l'app, donc les inscrits à l'app les ont en principe renseignées en connaissance de cause.

Plus généralement, cet incident illustre deux constats, parfois oubliés :

Ce n'est pas parce qu'un large volume de données est mis à la vente que la fuite est grave. Si elle ne contient pas d'informations facilement exploitables, son ampleur sera moindre. Inversement, une fuite avec un faible volume de données, mais avec des indications très précises sur une personne ou une organisation, peut permettre de lancer des phishings complexes et personnalisés. Ces manipulations auront plus de chance de réussir qu'un phishing classique grâce à la fuite, et pourraient mener à des incidents d'ampleur, comme le téléchargement d'un rançongiciel.

Dans de nombreux cas, les organisations ne sont pas au courant qu'elles sont victimes d'une fuite. Sans notre avertissement, Waiter n'aurait pas découvert la fuite, et d'autres malfaiteurs auraient pioché sur son serveur. Pourtant, il existe des services de veille et des outils de surveillance du réseau, mais ils ne sont pas forcément accessibles financièrement et techniquement par les organisations les plus petites. Waiter aurait pu découvrir la fuite des mois plus tard, et ne même pas savoir qu'une personne avait vendu ses données.

Une fuite malheureusement commune

La fuite est symptomatique des difficultés de nombreux utilisateurs de l'Elastic Search à protéger correctement leur serveur. Sorte de tableur Excel géant, l'Elastic Search est massivement utilisé par les entreprises qui veulent exploiter leurs données, car il permet de les organiser, de faire des opérations et au final, d'en tirer de la valeur. Mais beaucoup se perdent dans les paramétrages de sécurité. Précédemment sur Cyberguerre, nous avons observé des fuites du même genre chez une plateforme de crowdfunding française, sur une app de rencontre BDSM ou encore chez un site de voyance. Même des organisations bien mieux préparées, comme Microsoft, ont le même genre de problème.

Volontairement ou non, Waiter s'en sort bien, car il n'a pas mis de données très sensibles sur le serveur. Pour la startup qui vient de fêter ces trois ans, l'incident est plutôt une piqûre de rappel sur la cybersécurité, et l'occasion de vérifier ses protections.