La base de données comprenait des centaines de milliers de détails sur les contrats des volontaires du programme, ainsi que plus d’un million de noms, d’adresses électroniques et de mots de passe d’utilisateurs qui se sont inscrits sur le site Web.
Une équipe de recherche en sécurité, a découvert la base de données le 30 mai et l’a signalée au Service civique français le même jour. L’organisation a agi rapidement et a sécurisé le serveur exposé quelques heures plus tard.
Le service civique français a indiqué dans un communiqué qu’un sous-traitant avait exposé la base de données des anciens volontaires.
L’Agence du Service Civique a été alertée le samedi 30 mai à 15 h 30 qu’une faille de sécurité avait été détectée dans le système d’un de nos sous-traitants et avait permis l’accès à une base de données personnelle d’anciens volontaires auprès du Service Civique français. Immédiatement, l’Agence du Service Civique a fait tout ce qui était nécessaire pour trouver l’origine de la faille et la sécuriser. L’accès a été bloqué le samedi 30 mai à 19 heures.
Il s’agissait d’une plateforme de test, et non de notre site internet, sur laquelle un de nos sous-traitants avait chargé notre base de données sans système sécurisé adéquat le 25 mai dernier. Notre enquête sur l’historique des accès non autorisés sur cette base de données montre qu’à notre connaissance, aucune intrusion malveillante n’a eu lieu sur la plateforme. Le rapport d’incident a été envoyé à l’autorité française CNIL « Commission nationale de l’informatique et des libertés » et le ministère en charge a été informé en permanence pendant notre enquête. Un audit complet de tous nos systèmes va être lancé. Nous nous engageons à maintenir notre sensibilisation à la cyber hygiène.
La chronologie de l’exposition
La base de données a été exposée pendant cinq jours au total :
Le 25 mai 2020 : Un sous-traitant travaillant pour le compte du service civique français a déployé la base de données
27 mai 2020 : La base de données exposée a été indexée par le moteur de recherche Shodan.io
30 mai 2020 : Diachenko a découvert la base de données et a contacté le chercheur en sécurité français Baptiste Robert, qui a contribué à porter l’incident à l’attention du service civique français
30 mai 2020 : Les données exposées ont été sécurisées environ trois heures après la divulgation de Diachenko
Bien que le Service civique français ait déclaré qu’aucune intrusion malveillante n’a eu lieu, nous ne pouvons pas confirmer si d’autres parties non autorisées ont accédé aux données.
Quelles données ont été exposées ?
La base de données MongoDB ouverte et non protégée contenait plusieurs ensembles de données, notamment :.
373 892 informations personnelles de volontaires, y compris des informations sur les contrats ELISA. ELISA (Extranet local d’indemnisation et de suivi de l’accueil des volontaires en service civique) est le système utilisé pour autoriser les organismes qui souhaitent engager des volontaires par le biais du service civique français et gérer les contrats et le paiement entre ces organismes et leurs volontaires. Les informations contenues dans ces documents comprennent : Noms complets des deux parties. Numéros d’identification SIRET Termes du service bénévole.
Plus d’un million d’enregistrements d’utilisateurs de sites web, dont :. Adresses électroniques. Noms complets Mots de passe des comptes Un répertoire de 1 913 contacts de haut niveau comprenant :. Adresses postales Numéros de téléphone Adresses électroniques
Dangers des données exposées
Bien que le Service civique français affirme qu’aucune intrusion malveillante n’a été détectée, nous recommandons vivement aux utilisateurs impactés et aux organisations bénévoles de prendre des mesures pour se protéger au cas où des cybercriminels parviendraient à voler les données exposées.
Les mots de passe qui ont fuité sont les plus inquiétants. Les utilisateurs concernés doivent immédiatement changer leurs mots de passe de connexion aux sites web. En outre, si la même combinaison de mot de passe et d’email a été utilisée sur un autre compte ou service, changez-les également pour éviter les attaque.
Toute personne dont les coordonnées ont été exposées doit être à l’affût des courriels d’escroquerie et de phishing provenant de criminels se faisant passer pour le Service civique français et des organisations connexes.