Grégoire Huvelin - 22 novembre 2019
Le chercheur en sécurité informatique Vinny Troia a mis la main avec une facilité déconcertante sur une gigantesque base composée de 1,2 milliard de données personnelles exposées, toutes stockées sur un service unique non sécurisé. Et visiblement en libre accès.
À la recherche de contacts aux côtés de son collègue Bob Diachenko sur le service Web Shodan, un moteur spécialisé dans la recherche d’objets connectés à Internet, Vinny Troia ne s’attendait pas à faire une pareille découverte. Au cours de sa session, l’intéressé tombe sur l’adresse IP d’un serveur lié à la plateforme Google Cloud Services. Surprise : 1,2 milliard de données y sont stockées, rapporte Wired.
662 MILLIONS ADRESSES EMAIL
Visiblement disponibles en libre accès, ces quatre téraoctets d’informations personnelles ne contiennent aucune donnée sensible (mots de passe, numéro de carte de crédit et de sécurité sociale). Mais bel et bien des profils appartenant à des centaines de millions de personnes : 50 millions de numéros de téléphone uniques, 622 millions adresses électroniques et des comptes associés à des réseaux sociaux (Facebook, Twitter, LinkedIn, Github).
« C’est la première fois que je vois autant de profils issus de réseaux sociaux collectés et fusionnés avec les informations d’utilisateur dans une seule même base de données », s’étonne Vinny Troia. « Du point de vue d’un pirate, si l’objectif est d’usurper l’identité d’une personne ou de pirater leur compte, les noms, numéros de téléphone et adresses URL des comptes associés constituent beaucoup d’informations pour vous aider à y parvenir », admet-il.
D’après ce dernier, il n’existerait aucun moyen de savoir si une personne s’est emparée de cette gigantesque base avant sa découverte. Et surtout, M. Troia n’a pas réussi à trouver le véritable propriétaire du fameux serveur. Ce regroupement d’informations est divisé en quatre ensembles de données : trois d’entre eux appartiendraient à People Data Labs, décrit par Wired comme un courtier en données.
Problème : le cofondateur de l’entreprise Sean Thorne a déclaré que sa société ne possédait pas le serveur. Des déclarations que Vinny Troia crédite de lui-même. Étiqueté sous le nom d’OXY, le quatrième et dernier ensemble de données a été attribué à Oxydata, un autre courtier du secteur. Le directeur des ventes Martynas Simanauskas a cependant affirmé qu’aucune infraction n’avait eu lieu au sein de leurs systèmes. Aussi, le groupe n’utiliserait pas l’appellation OXY.
HORS-LIGNE
Le fait est que les adresses emails stockées sont bel et bien liées à de vrais profils d’utilisateurs, selon les vérifications de Wired. « Ce qui ressort de cet incident, c’est le volume de données collecté, et la manière dont il a été regroupé, stocké et commercialisé à l’insu de leurs propriétaires », alarme Troy Junt, expert australien de la sécurité Web, qui remet au goût du jour les problèmes de sécurité et de confidentialité inhérentes au secteur de l’achat de ventes de données.
Plus étonnant encore, Vinny Troia a effectué un signalement auprès du Federal Bureau of Investigation (FBI) : quelques heures plus tard, le serveur a été mis hors-ligne. L’agence américaine n’a pas souhaité effectuer le moindre commentaire. Cet événement en rappelle un autre : en janvier 2019, un répertoire de 2,2 milliards d’adresses piratées avait été découvert par un certain… Troy Junt.