Dans la matinée du 28 mai 2019, l’information est sortie qu’une faille de sécurité sur les serveurs du magazine britannique dédié aux investisseurs Investment Week (investmentweek.co.uk) a exposé les données de 330000 de ses utilisateurs. Les chercheurs anonymes qui ont découvert la fuite en ont posté les détails sur Reddit.

La vulnérabilité a été découverte le 4 Avril 2019, et on peut se demander pourquoi nous découvrons cette information si tard. En réalité, la société qui opère Investment Week, Incisive Media, a bien publié un message le 29 avril à ce sujet, mais de manière si discrète qu’elle n’a pas soulevé l’attention.

Nous avons contacté les chercheurs à l’origine de cette découverte afin de vous apporter un rapport exclusif sur les détails de cette fuite.

La fuite Investment Week : quoi, quand, où?

Le 4 avril 2019, les chercheurs ont d’abord découvert un noeud Elasticsearch sans protection sur le serveur d’Investment Week. Deux semaines plus tard, le 18 avril 2019, ils ont sondé ce serveur et trouvé une base de données contenant approximativement 330000 fichiers de données personnelles sensibles :

  • Nom complet
  • Adresse mail
  • Information d’abonnement
  • Ville
  • Numéro de téléphone
  • Société
  • Pays

La base de données contenait également des mots de passe md5 hachés sans salage ; une chose à ne pas faire pour les experts en cybersécurité, les mots de passe hachés de cette manière étant sensibles aux attaques par force brute.

Après avoir réussi à pénétrer cette base de données, les chercheurs ont approché Investment Week le jour même, mais ont reçu une réponse le 25 Avril seulement. Cela signifie que la vulnérabilité est restée exposée pendant au moins 21 jours, en supposant qu’elle ait été réparée le 25 avril. Il est aussi possible (mais sans qu’on puisse le confirmer) que la base de données ait été accessible bien avant que les chercheurs ne la découvre le 4 avril.

La réponse d’Incisive Media

Bien qu’Incisive Media annonce sur son site avoir réglé le problème (les informations ont été retirées du serveur en question, un audit a été effectué, les mots de passe réinitialisés), leur réponse pose problème à différents niveaux.

Premièrement, le temps écoulé entre le moment où la société Incisive Media a été informé de la brèche (le 18 avril) et le moment où elle a informé l’Information Commissioner’s Office (l’équivalent de la CNIL en France), le 26 avril, excède les 72 heures légales fixées par le Règlement Général sur la Protection des Données (RGPD) européen.

En plus de ce problème légal, se posent des questions éthiques :

  • l’annonce faite stipule de manière erronée qu’“aucune autre information ou donnée n’a été exposée” dans la fuite à part les noms, adresse mail et mots de passe des utilisateurs.
  • L’annonce passe sous silence les méthodes de chiffrage inappropriées utilisées sur le serveur.
  • Elle ne mentionne pas non plus expressément le site web affecté (investmentweek.co.uk), ni ne présente cette information à l’endroit où les utilisateurs exposées sont le plus susceptible de pouvoir y accéder (utilisant à la place le site web de la compagnie mère du magazine).

Les risques

Un fraudeur habile peut semer le chaos s’il peut accéder à un minimum d’informations personnelles. Dans ce contexte, la fuite de données d’Investment Week offre beaucoup de munitions pour orchestrer diverses attaques en ingénierie sociale : phishing, baiting ou pretexting. Toutes ces techniques basées sur la manipulation des personnes à l’aide de détails personnels afin d’obtenir plus de données ou accès à différents services.

Il est important de souligner qu’Inventent Week est une publication à destination des hommes d’affaires, investisseurs et professionnels de la finance, des profils qui ont beaucoup à perdre en termes d’argent, information sensibles ou autres. C’est une autre raison pour laquelle nous pensons qu’Incisive Media fait preuve d’une certaine négligence dans sa gestion de la situation.

Les hackers éthiques qui ont découvert la fuite Investment Week déclarent avoir des informations sur d’autres vulnérabilités à venir prochainement.