Le pot aux roses a été découvert par SafetyDetectives. Les informations se trouvaient sur un serveur Elasticsearch avec « plus de 8 To de données, soit environ 7,4 milliards de fichiers ».
L’équipe de chercheurs explique que « la base de données du Figaro contenait des journaux API pour ses sites Internet classique et mobile, datant des trois derniers mois ». Elle ajoute que cela comprend notamment « les données des utilisateurs ayant créé un compte d’abonnement sur le site Internet du Figaro entre février et avril 2020, ainsi que les données des utilisateurs préexistants s’étant connectés à leurs comptes pendant cette période ».
Pire encore : « Dans le cas des nouveaux utilisateurs, les entrées incluaient les identifiants (mot de passe inclus) et des données personnelles. Pour les utilisateurs préexistants, les mots de passe sont restés secrets, mais leurs données personnelles ont également été exposées ».
Emails, noms, prénoms, adresses, IP et jeton d’accès se trouvaient ainsi dans le lot, mais aussi « les mots de passe des nouveaux utilisateurs, en clair, ainsi que leur empreinte MD5 ». « Du fait de la structure de ces données, le nombre exact de personnes concernées est incertain », explique SafetyDetectives.
Le Figaro s’est fendu d’un communiqué de presse. La société explique que l’origine de cette fuite vient d’une opération de maintenance avec la migration d’un serveur de logs le 8 avril : « une erreur a été commise dans le paramétrage de la sécurisation des accès [au serveur]. Celle-ci a rendu certaines données théoriquement accessibles du 8 au 28 avril 2020 ».
« Il s’agit d'informations parcellaires, très peu exploitables. Une fois identifiée, la faille a été immédiatement corrigée. Aucune fuite de données n’a, à ce stade, été constatée », ajoutent nos confrères. Une déclaration à la CNIL, rendue obligatoire par le RGPD, était en cours le 30 avril.
Commentaires (51)
#1
“des journaux API” ? Quelqu’un peut me traduire SVP ?
Sinon, va falloir m’expliquer comment, de nos jours, on en est encore à garder trace de mot de passe en clair.
#2
“Serveur Elasticsearch”
" />
C’est souvent ce type de serveurs qui ont un souci de fuite, ça serait pas plutôt ça le problème?
#3
En 2020, ils stockent encore des mots de passe en clair ? Sérieusement ?
#4
En gros, ElasticSearch est un système qui va rassembler les données destinées à être utilisées dans un moteur de recherche ou un moteur de reporting. Il va les rassembler dans une base de donnée optimisée pour la recherche ultra rapide (notamment la recherche multi facettes). Il est habituellement utilisé en mode API (vous tapez dans un endpoint). Tout ce que fait ElasticSearch est journalisé/consigné/tracé (loggué). Ces logs étaient accessibles et ils contenaient des mots de passe en clair, ce qui n’est pas une erreur mais une folie furieuse de la part de sociétés dont les prestataires/salariés/intervenants qui décident parfois de quand même continuer à traiter du mot de passe en clair pour x ou y raisons qui vont du voyeurisme à l’incompétence.
#5
Il doit s’agir de la journalisation (l’historique) de tous les appels effectués par les clients (sites et appli) sur les interfaces (API) de l’infrastructure du Figaro qui les héberge.
#6
PCInpact : rassurez nous, pas de mot de passe en clair ou de md5 chez vous, n’est-ce pas ?
#7
J’adore le communiqué de presse “informations parcellaires très peu exploitables”, publié sur le twitter du groupe Figaro, et non pas sur le twitter du journal Le Figaro
#8
une erreur a été commise dans le paramétrage de la sécurisation des accès
Ne pas mettre de mot de passe, je ne sais pas si on peut considérer que c’est une erreur de paramétrage
#9
Pas vraiment, la sécurisation est possible par login / mot de passe via une seule ligne de commande.
Cette fonctionnalité payante à l’origine ne l’est plus sur les dernières versions depuis un an.
Bien sur après il faut changer le code de l’application qui y accède et la c’est le drame (pour diverses raisons ^^)
#10
#11
#12
Bien sûr que non, ils utilisent base64 comme Xiaomi…
#13
#14
D’accord, faire payer ça, c’est dur.
" />
#15
#16
#17
C’est la différence entre le bon et le mauvais stagiaire. Le bon stagiaire, on lui dit de tout logguer, il loggue tout. Le mauvais stagiaire, on lui dit de tout logguer, il loggue tout.
#18
Donc plus communément appelé “logs”
" />
#19
#20
Serveur de journalisation qui inclus les mots de passes en clair et hash MD5 ? Ce n’est pas une simple erreur de configuration, à ce niveau là. C’est du pur je m’en foutisme !
#21
Du MD5 en 2020, pour les nouveaux utilisateurs qui plus est. Inexcusable.
En général on croise du MD5 ou du SHA avec l’excuse (irrecevable) “c’est les vieux comptes qui ont pas changé de mot de passe depuis qu’on a modernisé le hachage” mais là…
#22
Trop d’information est échangé lors de l’authentification par mot de passe, puisse que le secret de l’utilisateur est partagé avec les serveur, à l’inscription puis à chaque authentification.
Il existe des moyens de prouver la connaissance d’un secret sans le partager.
Le plus simple à comprendre est le système Lamport : à l’enregistrement, le serveur vous demande votre mot de passe hasher 500 fois. Pour vous identifier la première fois il vous demande votre mot de passe hashé 499 fois. Il le hash une fois et vous êtes authentifié si le résultat correspond à ce qu’il avait enregistré. Il remplace le hash 500 par 499 que vous venez d’envoyer. Et ainsi de suite jusqu’au hash 1. A ce moment vous devez enregistrer un nouveau mot de passe hasher 500 fois.
C’est juste un exemple, il y en a d’autres mais moins simples à expliquer.
#23
Ce que ça nous montre aussi c’est qu’il récupère pas mal (trop) d’informations sur nous et notre navigation via leurs sites.
#24
Sauf qu’il y a pléthore de moyens pour éviter ça, le premier c’est de ne pas avoir de réseau public pour une telle infrastructure. Donc ça va plus loin que la faiblesse d’authentification.
#25
Je suis d’accord, mais ça aide pas.
#26
Ah mais on est d’accord, mais dans le détail sur des outils qui stockent des infos parfois sensibles, c’est affolant le nombre qui pense que par défaut ça n’a pas à être exposé et donc n’utilise pas d’authentification : ES, Redis, MongoDB… ça fait un peu peur et la plupart des tutos kikoos ne s’attardent pas sur la mise en place de ces mécanismes :(
#27
Réponse typique. Je ne connais pas le sujet donc c’est complotiste.
1/ la presse mainstream ne peut vivre QUE des subventions. D’ailleurs lemonde/lefigaro sont subventionnés quasi pareil aux alentours de 15M€.
2/ les premiers collaborateurs des officiers traitants, quand ils n’ont tout simplement pas la double casquette, sont les journalistes, et ce, absolument partout dans le monde
3/ j’ai moi même eu à faire à plusieurs d’entre eux pour différents sujets sur lesquels j’ai eu à bosser… seuls les lecteurs des journaux ne savent pas qu’un journaliste ne va contre la doxa que si sa niche fiscale personnelle (assez hallucinante quand on est capable d’y réfléchir) et son job sont garantis (par la doxa même) et qu’ils ont BESOIN d’avoir un “contact” officier traitant pour avoir plus de détails “exclusifs/croustillants” avant les autres sur X ou Y individu qu’on décide d’afficher… C’est comme ça que souvent, ils savent qui est fiché S ou qui a fait quoi alors que l’info est privée voir personnelle.
C’est à cause de la masse d’individus qui réagissent comme toi que cette situation fonctionne très bien, au détriment de toute logique…
Le système est bien huilé, un népotisme tranquille où chacun se place grâce à ses potes. Un tel patron de presse gracement subventionné/récompensé par les politiques auxquels il obéit… au détriment des vraies affaires (exemple, l’affaire Kabile ou les centaines d’affaire de caisses noires dont parlent des bouquins comme ceux de Sophie Coignard qui est une parmi des centaines d’auteurs)… Un tel chef d’Etat placé par ses potes banquiers qui ont trusté tous les postes utiles, etc. Et une bande de gens de ton style qui traitent d’hérétique ( = de complotiste) quiconque dira “et pourtant elle tourne”.
Quand au paragraphe sur le risque légal d’amende… LOL. C’est ta consommation excessive de soma qui t’empêche vraiment de comprendre la France de 2020.
Allez, arrête de parler aux complotistes et retourne lire libé sur fond de bfm info 24⁄7.
#28
Donc plus Commonwealthément appelé “logs”.
" />
#29
c’est encore pire chez Free: j’ai un compte freebox chez eux depuis 2017, et à chaque redemande de mot de passe oublié, il renvoi bien le mot de passe que j’avais eu à la création du compte.
Le pire que j’ai vu étant avec Orange Jobs: il y a un avertissement de clôture de compte pour inactivité au bout de 2 ans et le mail envoyé contient le login et mot de passe du compte en question.
#30
C’est toujours pas illégal et punissable par une énorme amende ça ? Il serait temps.
#31
#32
#33
#34
#35
Putain de chef de projet…
" /> (bien plus crédible dans mon expérience)
#36
Rien au final
" />
#37
Exactement. Tu peux aller vérifier. Chiffres mirobolants et sans logique.
#38
Tu peux cracker n’importe quel md5 pour 0,65€ d’AWS par collision : https://crypto.stackexchange.com/a/32492
Ca fait 10 ans que c’est deprecated voire forbidden.
#39
Je pense que tu n’as pas saisi mon propos.
Ce que je disais c’est que le mainstream (le monde, le figaro, AFP, Aujourd’hui en France, etc) n’est plus viable économiquement car énormément de moyens dépensés à autre chose que d’informer le peuple, donc le peuple n’en veut pas, donc pas de possibilité de financement direct par ce dernier, donc on lui force la main en subventionnant ce qui ne devrait pas l’être.
Si on était dans un système logique, tous les sites de presse devraient être subventionnés à égalité, en fonction des investissements humains/intellectuels et de la qualité du contenu jugé par un comité d’organismes indépendants de l’Etat et des ONG (qui n’ont de non gouvernemental que le nom, dans 90% des cas).
Mais comme on préfère marcher sur la tête, les sites de qualité comme NXI/PCI galèrent pour payer leurs fiers rédacteurs qui font un travail utile et conscienscieux… Mais les gros sites de bouse propagandiste qui nous chient dans le crâne ce que les politiciens et les services de renseignement concotent, eux, ils sont subventionnés à mort et appartiennent à des milliardaires aux collusions d’intérêts plus visibles que le nez au milieu de la figure.
Les seuls qui défendent encore le mainstream représentent les vieux, ceux qui ne cherchent pas vraiment à s’informer et ceux qui veulent à tous prix que vous lisiez leurs mensonges.
Tous les autres (la majorité), si on faisait voter les subventions pour les redistribuer plus équitablement… y aurait de l’argent à foisons pour des sites comme PCI ou des dizaines d’autres qui galèrent.
#40
“Celle-ci a rendu certaines données théoriquement accessibles du 8 au 28 avril 2020”
Vu qu’une équipe de chercheurs a pu y accéder, c’est un peu moins théorique, non ?
#41
#42
#43
#44
8 To de données personnelles… Et ils ne seront jamais inquiété…
“mmmh’voyez caytay mal configuray en fait y’a rien c’est tout bon lol bu-bye!”
Quand, mais QUAND va-t-on enfin voir la justice s’abattre enfin sur des telles branquignolard pour qu’ils commencent à gérer sérieusement nos données personnelles ?! Soyons clair, il n’y aura aucune amélioration tant que quelqu’un ne se prendra pas un scud bien sévère.
Si j’ose un parallèle avec la Hadopi… On peut prendre très cher à cause d’un défaut de sécurisation de notre réseau si on est flashé…
Or là, les mecs ils foutent 8 To de données personnelles en libre accès, avec mots de passe (en md5 de surcroit!), mais non, RIEN.
Ah bah faudrait pas inquiéter les grosses boites quand même… Et puis bon, vous allez quand même pas me dire que 8 To de données personnelles c’est plus important que les 3 Go du dernier Avengers! Allons ! </sarcasme>
Je suis énervé. Désolé. Mes nerfs ont lâché devant la news…
#45
[quote] Il s’agit d’informations parcellaires, très peu exploitables. [ /quote]
8 To de données, ce n’est pas vraiment ce que j’appellerais du parcellaire.
Si l’on en croit leurs propos, techniquement, dans ces 8 To, on aurait la quasi-totalité des fichiers et données personnelles des utilisateurs du site. Je ne vois pas en quoi de telles infos seraient très peu exploitables.
Bien au contraire, c’est du pain béni pour une campagne de phishing de grande ampleur.
Et encore, ce serait vraiment le minimum qu’un pirate ferait de ces données.
#46
#47
c’est passé en clair dans le POST
" />
#48
Sauf que c’est déjà le cas malheureusement… A choisir, la plupart des sociétés choisiront de passer cette info sous le tapis plutôt que communiquer dessus.
Sauf que la plupart du temps, elles ne peuvent pas le passer sous le tapis car le dump a été découvert par un chercheur en sécu (par hasard ou en monitorant les forums illégaux) qui leur met la pression pour communiquer via public disclosure. Et s’ils veulent pas bouger, il communique cette info directement via son blog ou en alertant les médias.
C’est exactement ce qu’il se passe ici avec Le Figaro. SafetyDetectives découvrent le dump, informent Le Figaro puis communique publiquement dessus, ce qui est repris par les autres médias. Du coup, Le Figaro doit à contrecœurs communiquer. Et ils le font avec une mauvaise foi incroyable, minimisant l’impact (données parcellaires, très peu exploitables.), ne s’excusant même pas réellement.
Et finalement, tout le monde s’en fout et on continue joyeusement, sauf les 3 péquins un peu technique qui comprennent la portée réelle du problème.
Non vraiment, on ne peut pas attendre des sociétés de prendre une vraie responsabilité et d’investir pour ne pas faire de connerie. A un moment, il faut taper là où elles comprennent : le portefeuille.
Un peu de lecture pour ceux qui veulent en savoir plus sur les dessous des public disclosure et la difficulté à faire admettre à une société ses problèmes :
https://www.troyhunt.com/there-is-a-serious-lack-of-corporate-responsibility-dur…
#49
Avec le RGPD “en théorie” une entreprise qui cache une fuite de données risque très gros.
C’est une grande nouveauté je crois, pour le coup c’était le comportement habituel pre-RGPD de passer la fuite sous silence.
Je dis “en théorie” car il n’y a pas grand monde pour faire respecter le RGPD…
Dans tous les cas, le comportement de l’entreprise va dépendre de ce qu’elle considère comme lui coûtant le plus cher : amende pour avoir caché la fuite VS impact sur la réputation en cas de divulgation.
L’impact sur la réputation étant sans doute à revoir à la baisse car, comme l’a dit Indigo74, malheureusement quasi tout le monde s’en fout.
#50
#51
Si elle communique, elle sera sanctionnée pour la fuite, sanction modulée comme tu l’as dit.
Si elle ne communique pas, tout en ayant connaissance de la fuite, et que cette dernière finit par malgré tout arriver aux oreilles des autorités, elle sera sanctionnée pour la fuite (sans doute modulée moins gentiment) ET pour manquement à son obligation de prévenir les autorités (CNIL notamment). Les autorités décident ensuite des modalités de la communication aux utilisateurs dont les données ont fuité (peut par ex être reportée pour le bon déroulement de l’enquête)