Canal+ aurait été victime d'un piratage de ses serveurs ayant entrainé une fuite de données de son nouveau logiciel de CRM. C'est en effet ce que laisse entendre une requête DMCA visant un dépôt GitHub, du moins avant sa modification.

Le nouveau logiciel de gestion de la relation client de Canal+ sur la sellette

Via une requête DMCA datée du 9 juin 2015, le groupe Canal+ a demandé, et obtenu, la fermeture d'un dépôt GitHub, comme l'indiquent nos confrères de TorrentFreak. Dans sa requête, le représentant légal de la chaine de télévision explique que toutes « les données et les codes publiés et contenus dans ce dépôt sont confidentiels et pourraient être utilisés pour voler des données personnelles de notre CRM ». Pour rappel, un CRM (Customer Relationship Management) est un logiciel de gestion de la relation client. Des informations personnelles de ces derniers pourraient donc s'y trouver, bien que cela ne soit pas précisé.

Pour le groupe la demande est simple : « la suppression d'urgence de ce dépôt ». Comme on peut désormais le constater, GitHub s'est exécuté. Fin de l'histoire ? Pas vraiment non puisque si on fouille un peu plus dans ce dépôt et sur la requête DMCA, on se rend compte que cette dernière a été modifiée le 9 juin avec la suppression d'une dizaine de lignes par rapport à la demande initiale du 3 juin, le reste étant identique :

Quand la requête DMCA est modifiée pour en alléger son contenu

« Le 22 mai 2015, nous avons eu une compromission sur notre projet AWS avec une clé d'accès, dont le but était de créer des bitcoins. Le 26 mai 2015, nous avons trouvé cette clé d'accès sur ce dépôt Github. La clé compromise est [privé]. Après analyse de ce dépôt, nous pouvons affirmer que tous les codes et les secrets contenus dans ce dépôt concernent le projet de Canal+. Depuis le 27 mai 2015, quatre demandes de retraits de contenu illicite ont été envoyées concernant Hooperp  » argumentait Canal+.

Mais le plus intéressant reste à venir : « Comme nous l'avons expliqué, "hooperp" a piraté un de nos serveurs et volé toutes les données et les codes de notre nouveau projet de logiciel de CRM: "Kiss deploy"  ». Le fin mot de cette histoire serait donc un piratage des serveurs de Canal+, bien que la mise à jour de la requête DMCA n'en fasse plus état. On rappellera que, pour le moment en France, seuls les opérateurs et les FAI ont une obligation de communiquer sur des fuites de données, ce qui n'est donc pas le cas de Canal+.

Difficile en l'état des choses de savoir la quantité de données dérobées et ce que Hooperp compte désormais en faire. Nos confrères de TorrentFreak précisent que GitHub s'est refusé à tout commentaire pour le moment.

De notre côté, nous avons évidemment tenté de contacter le service presse de Canal+, que ce soit par email ou par téléphone, afin d'avoir un retour de la chaine sur ce problème de sécurité, mais sans succès pour le moment. Nous mettrons cette actualité à jour dès que nous aurons eu un retour de sa part.

La requête DMCA telle qu'elle a été initialement publiée à gauche, la version allégée depuis le 9 juin à droite