Le chercheur Sammy Azdoufal s’est rendu compte que des pièces d’identité et d’autres données personnelles de près d’un million de personnes se sont retrouvées exposées sur Internet, et ce pendant plusieurs semaines, au cours d’une enquête. Interrogé par The Verge, le chercheur explique avoir découvert les données exposées en se penchant sur les outils numériques utilisés par Cannabis Club Systems (CCS). Il s’agit d’une société irlandaise qui fournit des logiciels, du matériel et des solutions sur mesure pour les clubs et associations liés au cannabis en Espagne. L’expert comprend rapidement que les documents confidentiels se trouvent sur des serveurs accessibles publiquement, sans la moindre mesure de protection.
À lire aussi : Nouvelle fuite massive – 45 millions de données françaises exposées sur Internet, dont des infos bancaires
Des documents récupérés par des clubs
Les documents ont été communiqués volontairement par des personnes qui visitent des endroits où l’on peut consommer du cannabis en toute légalité sur le sol espagnol. Lorsqu’un visiteur entre dans un club, son identité est vérifiée et ses documents peuvent être scannés puis envoyés vers le cloud de Cannabis Club Systems, autrefois connu sous le nom de Nefos Solutions. Cette procédure devait permettre de reconnaître les membres lors de leurs visites ultérieures.
En parallèle, l’entreprise proposait une application intitulée PuffPal, qui était censée accélérer et faciliter l’accès aux clubs grâce à des QR codes.Dans le code de cette application, Sammy Azdoufal a débusqué une série de défaillances de sécurité préoccupantes. Il a pu consulter des profils de membres, dont des informations comme des numéros de téléphone, des adresses, des préférences de consommation ou encore des données liées aux usages mensuels.
5 000 nouvelles pièces d’identité par jour
Sur des adresses web publiques, le chercheur a débusqué des passeports, des cartes d’identité et des photos d’identité. En fait, il suffisait d’accéder au bon lien pour consulter à loisir des documents d’identité très sensibles. Dans l’enquête publiée par The Verge, Azdoufal estime que ce système défaillant pouvait exposer environ 5 000 nouvelles pièces d’identité par jour. On parle de 985 000 photos d’identité à la portée de n’importe quel hacker. Des célébrités sont répertoriées dans la base de données, de même que des visiteurs provenant du monde entier. Des gens « qui préfèrent rester discrets sur leur consommation de cannabis » sont concernés, souligne l’expert.
Une sécurité défaillante
Au fur et à mesure de ses investigations, le chercheur a compris que le problème était plus vaste qu’un simple défaut de configuration des serveurs. Un portail d’administration était lui aussi accessible en ligne, et les mots de passe semblaient trop faibles pour résister à une tentative d’intrusion. Par ailleurs, le chercheur a également identifié des échanges de messages privés entre les clubs et les membres par le biais de PuffPal, ce qui accroît le périmètre de la fuite.
Une application enterrée
Une fois alertée, l’entreprise n’a pas immédiatement mis ses services hors ligne. Selon The Verge, Cannabis Club Systems a d’abord tenté de corriger les points techniques défaillants sans interrompre complètement le service. Dos au mur, elle a fini par suspendre totalement ses outils, le temps de les sécuriser. L’entreprise indique avoir signalé l’incident aux autorités concernées, à savoir l’Autorité irlandaise de protection des données (DPC).
Cannabis Club Systems explique que certaines des vulnérabilités épinglées pourraient venir, du moins en partie, d’un sous-traitant, 9Series. Celui-ci était fortement impliqué dans la conception de PuffPal. La firme s’engage à « informer toutes les personnes potentiellement concernées » par la fuite. Sauf surprise, la société ne compte pas relancer PuffPal, dont l’infrastructure est considérée comme trop vulnérable. Sans surprise, l’entreprise s’est séparée de 9Series.
Quoi qu’il en soit, il s’avère que les données exposées ont bel et bien été sécurisées. Il n’est plus possible d’y accéder. Rien n’indique que des cybercriminels aient profité de la faille pour subtiliser la montagne de données laissées sans protection. Néanmoins, on rappellera que les cybercriminels scannent continuellement Internet à la recherche d’informations laissées sans surveillance.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : The verge
