top of page

Le groupe Phosphore expose par erreur des données internes


Le groupe Phosphore expose par erreur des données internes

BM Est, filiale du groupe français Phosphore, a laissé consultable deux bases de données contenant des informations sensibles appartenant à des clients du groupe Phosphore. Découverte par la société VPNMentor, les bases de données contiennent 17 Go de données. Parmi les données concernées on retrouve notamment une base de CV récupérée par BM Est auprès de partenaires. Se trouvent également des données d’entreprises indexées par le logiciel de facturation en ligne Henrri.

Au total, les données d’un peu plus de 27 000 PME et 330 000 particuliers ont été exposées en ligne suite à une erreur de configuration. Le groupe Phosphore mentionne que les données ont été exposées en ligne par intermittence du 20 septembre au 15 octobre, date à laquelle les serveurs ont été mis hors ligne.

La découverte de VPNMentor date du 7 octobre 2019. Les chercheurs de la société qui compare des VPN ont tenté de contacter le groupe Phosphore par mail à plusieurs reprises, mais il aura finalement fallu attendre le 20 novembre pour que le groupe reconnaisse et corrige la faille en question.


Exemple de données exposées en ligne et appartenant au groupe Phosphore, récoltées par VPNMentor.

Les données qui ont fuité en ligne ne contiennent pas de données de carte bancaire comme c’était le cas pour la fuite ayant affecté le groupe Accor la semaine dernière. Cela reste néanmoins une faille considérable reconnait le groupe Phosphore.

« Deux bases de données Elasticsearch ont effectivement été exposées sur des serveurs de préproduction mis en ligne par un prestataire au début du mois de septembre » explique Keran Petit, directeur technique du groupe Phosphore interrogé par ZDNet.fr.

Les données d’une première base contenaient des CV de candidats portant mention d’adresses email, de noms et prénoms, d’adresses postale et de numéros de téléphone de candidats.

L’autre base de données contenaient les données indexées par la société H2R, qui édite le logiciel de facturation en ligne Henrri. Mais selon la communication du groupe Phosphore : « Il ne s’agissait pas de données confidentielles, ce sont des données que l’on peut retrouver sur Sirene ou societe.com. C’est pour cela qu’elles ont été utilisées sur ce serveur de test, car nous ne les considérions pas comme critiques. »

Le groupe a signalé l’incident auprès de la CNIL vendredi 22 novembre et a inspecté les logs d’accès aux bases de données afin de déterminer qui avait pu y avoir accès. Selon la société, aucun tiers (excepté VPNMentor) ne s’est connecté à la base.


publicité

Divulgation responsable

Les deux chercheurs à l’origine de la découverte, Noam Rotem et Ran Locar, n’en sont pas à leur coup d’essai. Dans le cadre d’un projet interne, ils ont en effet entrepris de cartographier les systèmes en ligne laissés exposés et vulnérables, comme c’était le cas pour les bases de données du groupe Phosphore ou du groupe Accor la semaine dernière.

« Cela fait plusieurs mois que nous scannons le réseau à la recherche de systèmes vulnérables. Au total, nous en avons répertorié un peu plus de 1,2 million que nous devons encore étudier de plus près. Chaque fois, on essaie d’évaluer l’ampleur de la faille et de contacter le responsable du système afin de résoudre le problème au plus vite » explique Noam Rotem auprès de ZDNet.fr.

“Nous cherchons toujours à joindre les responsables”

Si le projet est décrit par les deux chercheurs comme un « hobby » qui vise avant tout à rendre l’internet plus sûr, ces divulgations sont une véritable aubaine marketing pour une petite société de comparatifs de VPN qui cherche à se faire connaître. Mais les chercheurs assurent que leur démarche reste responsable.

« Nous cherchons toujours à joindre les responsables : on commence généralement par contacter les administrateurs, puis les responsables RGPD de la société en question et enfin l’hébergeur si nous ne parvenons pas à avoir de réponse » explique Noam Rotem. Une prise de contact par mail, qui passe parfois sous le radar des équipes techniques et peut provoquer des délais dans la correction des problèmes signalés.

0 vue0 commentaire

Comments


bottom of page