Dividom a laissé fuiter des centaines de documents personnels
Des PDF élevés en plein air
Le 19 septembre 2018 à 12h24
4 min
Internet
Internet
Un site d'investissement immobilier n'a pas protégé deux répertoires contenant des centaines de documents personnels, dont des pièces d'identité. Dividom a comblé la fuite, la justifiant par un changement de directeur technique et de système. La Cnil n'avait pas été avertie.
Le site d'investissement immobilier Dividom a laissé accessibles deux dossiers contenant près de 20 000 fichiers, dont quelques centaines contenaient des données personnelles. Parmi eux, environ 400 pièces d'identité (cartes d'identité, passeports...) et 150 relevés d'identité bancaire (RIB), selon la société et un chercheur en sécurité, interrogés. Nous avons pu en consulter un échantillon, qui comprenait aussi un bulletin de paie et une facture d'eau.
Le premier dossier a été signalé à Dividom le 11 juillet par Sysdream, une société de cybersécurité, et le second le 1er août par un chercheur en sécurité canadien, « Marc », selon des échanges que nous avons consultés. Le premier dossier a été mis hors ligne le 2 août. Le second l'aurait été le 9 août, une semaine après le signalement, selon le chercheur.
Deux dossiers, dont un « bucket S3 » doublon
La jeune pousse a donc d'abord été avertie par Sysdream. « Nous avons été un peu surpris du nombre de documents. Dans le tas, énormément ne sont absolument pas des documents de clients. On n'a pas 20 000 clients, même si on aimerait bien ! » nous assure Maxime Duhamelle, cofondateur de Dividom, dans un entretien fin août.
La majeure partie des documents « concerne nos sociétés civiles immobilières que nous gérons (statuts, relevés, facture de travaux, courriers, diagnostics...) », ajoute la société. « La plupart [des documents] étaient des reçus et contrats avec seulement les noms et signatures » répond pour sa part « Marc ».
Contacté, Sysdream n'a pas répondu à nos sollicitations.
Début août, « Marc » a découvert un miroir du premier dossier, dans un « bucket » Amazon S3 (espace de stockage), le signalant après quelques heures. « On m'a averti qu'un autre dossier (dupliqué du dossier public) était accessible. Je l'ai supprimé dans la foulée, puisque inutilisé » nous confirme Maxime Duhamelle.
Le 23 août, « Marc » faisant état de sa découverte sur Reddit.
Le chercheur a exploité l'outil dédié Gray Hat Warfare, qui répertorie ces dossiers ouverts sur Amazon S3, en quête de telles bévues. « La plupart des chercheurs semblent opérer dans la sphère anglophone, alors je me suis dit que ça vaudrait le coup de chercher des entreprises ailleurs » nous répond-il.
« Pour le meilleur et pour le pire, [cet outil] rend la découverte de ces fuites très facile. Une personne avec des connaissances informatiques de base aurait pu facilement tomber sur tous ces documents et les utiliser dans des buts inavouables » estime le chercheur.
Maxime Duhamelle justifie cette fuite : « Nous avons changé de directeur technique il y a un an et demi. Nous avons complètement changé le site. Deux systèmes coexistaient, ces documents étaient sur l'ancien système ». Sa durée concrète n'est pas connue.
La Cnil n'était pas au courant
Dividom n'a pas averti la Cnil de cette fuite, ce que nous confirme la commission. La société nous assure avoir chargé son avocat de cette procédure après notre entretien. En vertu du Règlement général sur la protection des données (RGPD), toute fuite de données dangereuse doit être notifiée dans les meilleurs délais à la Cnil, si possible dans les 72 heures après sa découverte.
« La Cnil veille au respect des obligations. Nous allons attendre de voir ce qu'ils vont nous dire » nous répondait l'institution fin août. Aucune sanction publique n'a été prise précédemment contre la société. Elle refuse de révéler si une sanction sans publicité a déjà été prononcée.
Nous avons demandé des détails supplémentaires à Dividom ces derniers jours, pour vérifier certaines dates et si le premier dossier épinglé était un espace de stockage S3 ou non. Malgré la promesse de réponses le 17 septembre, Maxime Duhamelle était injoignable cette journée et le lendemain.
Dividom a laissé fuiter des centaines de documents personnels
-
Deux dossiers, dont un « bucket S3 » doublon
-
La Cnil n'était pas au courant
Commentaires (11)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 19/09/2018 à 13h15
j’ai testé au hasard le lien pour explorer tous les S3 ouvert je tombe sur des dizaines de démarches de carte grises françaises…
Le 19/09/2018 à 13h36
effectivement c’est complètement fou le nombre de documents totalement privés qu’on trouve en quelques minutes avec certains mots clés…
Le 19/09/2018 à 15h19
On n’a pas 20 000 clients, même si on aimerait bien !
Voilà la publicité qu’il leur fallait " />
Le 19/09/2018 à 17h16
Fuire existe.
Fuiter n’existe pas
Le 19/09/2018 à 17h29
AWS met bien en avant quand les S3 sont publiques, c’est criminel.
Le 20/09/2018 à 07h57
En l’occurrence, si
Le 20/09/2018 à 08h36
exactement, cadox, une simple vérification dans un dico en ligne t’aurait détrompé :
Larousse
Le 20/09/2018 à 08h37
désolé, double post
Le 21/09/2018 à 19h58
En effet, il est peut être récent alors, merci pour ta recherche.
L’image portée par le mot fuire est si explicite que je ne comprends pas l’intérêt de cet autre mot que je trouve très moche.
On s’ennuit tant que ça à l’académie française?
Le 22/09/2018 à 14h10
il m’a fallu 30sec pour trouver une carte d’identité francaise, scarry
Le 22/09/2018 à 14h56
Pour le coup l’académie n’a fait que remarquer l’usage de la langue.