François Manens - 06 mars 2020
[Enquête Numerama] Une plateforme d’aide aux projets, qui travaille avec les Caisses d’Allocation Familiale et l’Éducation nationale, a laissé fuiter des milliers de données. La fuite a été réparée, apparemment sans avoir été utilisée par des malfaiteurs. Mais elle est symbolique de la difficulté des petites entreprises à comprendre les enjeux de la cybersécurité.
Des milliers de prénoms et noms, d’emails, et de messages échangés sur la plateforme. Fin janvier, un chercheur en cybersécurité nous alerte sur la fuite de données d’une startup d’aide aux projets de « jeunes entre 13 et 30 ans ». Les serveurs, ces machines qui stockent les données, contiennent des données de mineurs, mais sont ouverts. Les informations sont donc accessibles sur le web à qui aura l’adresse, le tout sans identifiant ni mot de passe. Il ne s’agit pas d’un piratage, il suffit de se connecter au bon endroit, la porte est ouverte. Si des personnes mal intentionnées mettent la main sur ce genre de données, elles peuvent l’exploiter pour leurs pratiques malveillantes, du vol d’argent jusqu’à l’usurpation d’identité.
Avertie par le chercheur, Wweeddoo, une startup d’une dizaine de salariés, n’a pas répondu. Nous l’avons donc nous-mêmes contactée et elle a fini par réagir. Six jours plus tard, les dirigeants avaient définitivement colmaté la fuite. Ils ont ensuite accepté de se livrer pour Cyberguerre à un exercice de transparence, et de nous raconter leur gestion de la crise depuis l’intérieur.
« Nous n’avons pas vocation à diffuser les données et nous ne les commercialisons pas . Nous ne voulons pas que cet événement impacte notre fiabilité à terme », espère Laurent Lescure, président
Plus de 20 000 lignes de données accessibles depuis mon navigateur web**
Début janvier, un chercheur en cybersécurité indépendant nous contacte. Il a trouvé une fuite de données sur trois serveurs, et l’entreprise concernée ne répond pas à son email de signalement. En tout, plus de 20 000 données sont visibles, directement sur un navigateur web, par n’importe quelle personne qui disposerait de l’adresse du serveur — une URL composée de 13 chiffres, séparés par des points.
Le chercheur nous a communiqué ces adresses, pour que nous parcourions les bases de données nous-mêmes. Selon les serveurs, nous trouvons des adresses email, des noms, des dates de naissance et des messages échangés sur le site.
L’expert en cybersécurité nous explique : quand il trouve ce genre de fuite, il ne sait pas d’emblée à quel site appartiennent les données. Il doit les analyser pour identifier quelle entreprise fuit. La vérification finale consiste à simplement utiliser la fonctionnalité « réinitialiser le mot de passe » du site sur plusieurs adresses email, pour confirmer que les adresses de la fuite correspondent à des comptes liés au site.
La fuite de données contenait des messages, affichés en clair. // Source : Capture d’écran Numerama
Dans notre cas, les données proviennent du site de wweeddoo.com. Cette startup, créée en 2015, a construit une plateforme en ligne de mise en relation entre des « jeunes » (de 13 à 30 ans) et des organisations (administrations, entreprises, associations…). Elle est lauréate d’un financement décerné par la Caisse des Dépôts, en partenariat avec l’Éducation nationale, et est estampillée de deux labels soutenus par l’État, French Tech et Tech for Good .
Wweeddoo fonctionne de façon similaire aux sites de financement participatif comme Kickstarter, KissKissBankBank ou Ulule. Elle accompagne des porteurs de projets, qui créent une page détaillée sur leur site. La startup se distingue principalement de ses concurrents en proposant aux « jeunes » de demander non seulement du financement, mais aussi des conseils, des contacts ou du matériel.
Après avoir identifié Wweeddoo, le chercheur a agi comme à son habitude : il trouve dans les mentions légales du site l’adresse de contact de l’entreprise et de la personne responsable. Il envoie un email accompagné d’une capture d’écran de la fuite comme preuve de ses propos. Son message est court : il se présente succinctement — sans forcément révéler sa vraie identité — et offre son accompagnement pour identifier la source et la réparer. Quand les entreprises lui répondent, il s’arrange avec elle pour facturer un service, dans un cadre légal, avec sa société et donc sous son vrai nom.
Des fuites du genre, notre chercheur en trouve plusieurs par jour. Parfois les serveurs ne contiennent que des données de test sans valeur et en petit nombre. D’autres fois, ce sont des millions de données, y compris des mots de passe ou des données bancaires, qui s’y trouvent.
L’email à la base d’un cocktail de données explosif**
Des adresses email ont fuité, « et alors ? », peut-on se demander. « L’adresse email est particulièrement importante aujourd’hui, car c’est la première identité numérique quand on utilise Internet », prévient Loïc Guézo, directeur stratégique de Proofpoint. « Le fait de rendre public son email donne une part de vous, ce n’est pas neutre. » Les emails sont particulièrement recherchés sur les marchés noirs, car ils permettent de lancer des campagnes de phishing.
Un des serveurs contient des emails d’utilisateurs de Wweeddoo.
Source : Capture d’écran Numerama
Justement, la fuite de Wweeddoo contient suffisamment de données différentes pour armer des campagnes d’hameçonnage ciblé, qui seraient plus susceptibles de fonctionner. Grâce à la fuite, un malfaiteur pourrait connaître l’adresse email et les centres intérêts de sa cible, en plus d’informations sur les personnes qui l’ont aidé — financièrement ou non. Les porteurs de projets, mais aussi leurs soutiens sont donc des cibles potentielles. Et parmi eux, nous retrouvons des mineurs, plus protégés par la loi.
Imaginez le scénario : vous êtes recontacté par le porteur d’un projet que vous avez soutenu. Il vous demande un peu plus d’argent, et vous envoie son compte PayPal. Sans trop réfléchir, vous l’aidez. Sauf que l’émetteur de l’email était un usurpateur, et que le PayPal était le sien. Ou pire : il vous a renvoyé vers une fausse page PayPal et vous a volé vos identifiants. Ce genre d’arnaque est relativement facile à mettre en place, et il en existe d’autres, bien plus complexes, selon l’imagination des malfaiteurs.
Ce n’est pas le seul problème : Wweeddoo travaille avec des organisations publiques : des Caisses d’Allocations Familiales (CAF), l’Éducation Nationale ou encore le Pass Culture. Des informations sur leurs employés pourraient se trouver dans les messages fuités, et elles pourraient être des victimes collatérales de la fuite.
Dans son audit de sécurité, Wweeddoo n’a pas constaté d’usage malveillant de la fuite ni de preuve qu’une personne malveillante aurait accédé à la base. Mais si vous êtes concerné par la faille, nous vous conseillons de changer votre mot de passe, par précaution.
Même les grands groupes ont des fuites similaires**
Notre chercheur n’est pas tombé sur la faille par hasard : le port 9200 des serveurs ElasticSearch est ouvert, et c’est devenu sa spécialité. Ce port 9200, que Wweeddoo a laissé ouvert sur ses serveurs, est une des principales sources de fuite de données à l’échelle mondiale. Le mois dernier, Microsoft — pourtant autrement mieux armé sur ces questions que la startup française — laissait plus de 250 millions de données exposées à cause d’une fuite sur leurs serveurs ElasticSearch. Plus tard dans le mois, c’était au tour de Décathlon d’exposer 113 millions de données. Commune chez les géants, ce type de fuite fait encore plus de ravages chez les petites entreprises, qui n’ont pas toujours les connaissances en interne pour les colmater.
Derrière le terme ElasticSearch se trouve une technologie open source [le code qui la compose est consultable] développée par Elastic. L’ElasticSearch coûte peu à mettre en place et à déployer, et est utilisé par des centaines de millions d’utilisateurs. Grossièrement, la technologie se présente comme un tableau Excel géant qui permet d’organiser ses données et d’automatiser des calculs. « L’ElasticSearch permet de créer un moteur de recherche dans votre base de données, et d’ainsi valoriser vos données, qui sont inutiles autrement. Vous pouvez faire des requêtes complexes sur de grands volumes de données » , précise pour nous Nicolas Arpagian, vice-président chargé de la stratégie et des affaires publiques chez Orange Cyberdefense, qui dirige une division s’occupant des audits de sécurité. L’ElasticSearch est par exemple utilisée pour analyser les données envoyées depuis Mars par les rovers, par Netflix ou encore par Goldman Sachs. Disons qu’à l’heure où toutes les entreprises veulent traiter du « big data », l’ElasticSearch s’impose dans les usages.
Mais cette technologie a un gros défaut : elle n’a pas de fonctionnalité de sécurité par défaut. Elastic propose différents services de sécurité, les hébergeurs comme Amazon Web Services également, mais elles sont payantes. « Quand vous voulez commencer à travailler avec ElasticSearch, vous n’allez pas avoir d’interface de sécurité. Il faut en être conscient au moment de la mise en production [le lancement du site sur le web, NDLR] », nous confirme le hacker éthique Clément Domingo, alias SaXx. En conséquence, certains développeurs oublient cette absence de sécurité, tandis que d’autres ne maîtrisent pas correctement les réglages des surcouches de sécurité qu’ils tentent de mettre en place.
« Quand nous commençons un test d’intrusion pour vérifier la sécurisation des sites, une des premières choses que nous faisons, c’est scanner les différents ports des serveurs, pour voir s’il n’y a pas une instance sur le port 9200 » prévient Clément Domingo, avant d’insister : « Un simple dork [une sorte de recherche, NDLR] sur Google ou Shodan, et on peut voir toutes les instances qui sont ouvertes. »
Puisque ce type de fuite est connu et facile d’accès, c’est une cible privilégiée par les hackers malveillants. « C’est prévisible que l’ElasticSearch constitue une porte d’entrée. Ils cherchent juste à maximiser leur profit et à minimiser leurs risques, comme tout entrepreneur », analyse Nicolas Arpagian.
Wweddoo a commencé à utiliser ElasticSearch après une refonte de sa plateforme en 2018. « Nous avions une plateforme développée par un prestataire extérieur, qui avait une inertie incompatible avec nos objectifs », nous explique Laurent Lescure. Il confie alors le développement d’une nouvelle plateforme à des étudiants en informatique : « Le modèle de Wweeddoo, c’est de faire réussir les jeunes : donc nous nous sommes dit que nous allions développer la plateforme avec de belles technos et une équipe de jeunes. » Les dirigeants ont ensuite confié le produit fini à leur développeur en interne. Ils pensaient alors avoir effectué les contrôles de sécurité suffisants. « Quelque chose dans notre communication n’a pas marché au moment de ce passage en interne. En conséquence, nous avions des outils que nous pensions sécurisés, alors qu’ils ne l’étaient pas », concède Cédric Peltier, CEO de Wweeddoo.
De la peur du hacker à une gestion tardive de la crise**
Nous avons contacté Wweeddoo le mardi 18 février, plus d’un mois après que notre source a contacté une première fois le président de la startup, et quelques jours après qu’il a contacté son CEO, Cédric Peltier. Le lendemain, il ne répondait pas. C’est finalement une autre employée de Wweeddoo, contactée sur LinkedIn, qui nous a mis en relation avec lui, non sans mal. Nous avons ensuite appelé en numéro masqué et le CEO a répondu à notre email en prenant soin d’enlever le numéro de portable de son adresse. Le jeudi, nous parvenions enfin à les avertir, de vive voix, et nous convenions de nous rencontrer la semaine suivante.
« Quand nous avons reçu l’email du chercheur, l’information a été compliquée à gérer pour nous », justifie Laurent Lescure. « Nous sommes face à un acteur complètement inconnu, non identifié, qui ne met pas de numéro de téléphone. Les données qu’il prétend avoir récupérées d’une faille pourraient presque avoir été trouvées sans faille. Il n’y a pas suffisamment de données personnelles, tangibles, qui nous font dire ‘il y a une faille’. »
Les deux hommes nous expliquent qu’ils ont organisé une réunion avec leurs équipes, afin d’éclairer plusieurs points : celui qui a envoyé le message était-il un hacker malveillant ? Avait-il vraiment les informations ou tentait-il de les arnaquer ?
Averti par un chercheur qui voulait les accompagner dans la réparation de la faille, Wweeddoo s’est méfié. // Source : Magnus916
« J’ai dix ans de conseil dans de grosses entreprises, où j’ai eu plusieurs formations sur les attaques informatiques. J’y avais appris qu’une technique utilisée couramment par les hackers consiste à arriver sous un axe bienveillant pour ensuite pénétrer le système », nous explique Cédric Peltier. Il précise qu’il a ouvert l’image envoyée par le chercheur sur un smartphone et sur un réseau autre que celui de l’entreprise. Un réflexe loin d’être illogique : une pièce jointe peut contenir un logiciel malveillant, et dans le pire des cas servir à déployer un rançongiciel. À la suite de notre appel, ils ont pris conscience de l’urgence de la situation.
Le vendredi, les deux hommes ont commencé à se pencher sur la fuite avec leur équipe. En parallèle, ils ont fait appel à un consultant spécialisé. Ce dernier est arrivé le mardi, et ce n’est que le mercredi soir que la fuite a été réparée. Ou plutôt, que le serveur a complètement été fermé. « Nous avons fait le choix technique, avec le consultant, de fermer les fonctionnalités que nous n’utilisions pas. Ce choix a été fait pour aller au plus vite et être cohérent avec la taille de notre startup », justifie Cédric Peltier.
Pour la suite, Wweeddoo nous indique avoir déclaré l’incident à l’autorité des données, la CNIL, comme le requiert la loi. Elle devra certainement lui donner de nouvelles garanties, et informer ses clients. « Nous allons mettre en place des protocoles réguliers pour identifier les failles, et des protocoles pour réagir rapidement si nous identifions des tentatives d’agression », s’avance Laurent Lescure. La startup n’avait, comme beaucoup d’autres, aucun moyen d’enregistrer ce genre d’événements jusqu’ici. Finalement, elle s’en sort à moindres frais. Elle devra désormais se plier à des obligations légales.