Laissée sans protection, cette base de données donnait, en libre accès, des adresses postales, courriels ou encore les mots de passe d’inscrits et abonnés au site d’information.
Un important volume de données, comprenant des données personnelles d’abonnés et d’inscrits au site du Figaro, est resté plusieurs mois accessible en ligne sans protection, révèle un rapport de l’entreprise de sécurité informatique Safety Detective, publié jeudi 30 avril.
L’équipe de Safety Detective a découvert un serveur utilisé par le site du quotidien français, hébergé en France et qui n’était pas protégé par un mot de passe, écrit Anurag Sen, l’auteur de l’étude. Ce serveur garde une archive (« log ») de nombreuses interactions des lecteurs avec le site, une pratique standard pour de très nombreux sites.
En revanche, l’accès au serveur n’était pas protégé, laissant 8 téraoctets de données librement accessibles. La vaste majorité des données étaient des informations techniques. Mais les fichiers contenaient aussi des informations personnelles, noms, adresses postales et courriels, ainsi que des mots de passe, dont certains étaient stockés « en clair », sans protection, et d’autres protégés par un hachage de type MD5 – une protection connue comme peu robuste.
Données d’inscription
Selon les constatations de Safety Detective, ces données personnelles correspondent à celles fournies par des internautes lecteurs du Figaro au moment d’une inscription ou d’un abonnement au site d’information. L’entreprise estime que, depuis février, les données d’un peu plus de 40 000 personnes ont été ainsi exposées, mais la fuite pourrait avoir été active plusieurs mois auparavant.
Aucune information bancaire n’était stockée sur le serveur, et aucun élément n’indique à ce stade que ces données ont été aspirées par des acteurs malveillants. Sollicité par Le Monde, Le Figaro n’a pas donné suite à nos demandes d’entretien sur le sujet. Mais après cette prise de contact, l’accès au serveur en question a été fermé, et il n’est aujourd’hui plus accessible, selon les constatations transmises par Safety Detective.
Mise à jour, jeudi 30 avril, 16 h 15 – Dans un communiqué, Le Figaro explique qu’une « erreur de paramétrage », lors de la migration d’un serveur, a « rendu certaines données théoriquement accessibles du 8 au 28 avril ». Le groupe affirme ne pas avoir constaté que des données aient été aspirées et avoir lancé un signalement de l’incident auprès de la Commission nationale informatique et libertés (CNIL), comme le demande la loi. Le Figaro dit enfin avoir mis en place « des process de sécurité supplémentaires afin de s’assurer que ce type d’incident ne se reproduise pas ».