Un chercheur en sécurité informatique, Olivier Hough, a interpellé, le 21 novembre, le géant de l’impression en ligne Vistaprint via Twitter. Le chercheur a découvert une base de données client entière non chiffrée, disponible en ligne, sans aucun mot de passe pour la protéger.
Hey @Vistaprint do you have a bug bounty program? or a security contact I can talk to. Got something here that your security team will want to look at ASAP
my DM’s are open
— Oliver Hough (@olihough86) November 21, 2019
Olivier Hough a détecté la faille grâce au moteur de recherche Shodan qui permet de traquer les bases de données vulnérables. La détection date du 5 novembre, le fichier, qui ne recevait ni n’envoyait de données, a été actualisé pour la dernière fois mi-septembre. Impossible à ce stade de savoir depuis combien de temps la base de données était librement accessible, ni si elle a été exploitée par des individus malintentionnés.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
L’entreprise d’impression en ligne est la propriété du groupe néerlandais Cimpress. À l’origine de Vistaprint, le groupe investit désormais dans plusieurs entreprises spécialisées dans le même secteur, elle propose tout une gamme d’offre de supports personnalisables à ses clients.
Un fichier comprenant 51 000 interactions entre Vistaprint et ses clients
Les consommateurs directement concernés par le piratage sont basés aux États-Unis, au Royaume-Uni et en Irlande.
Le fichier, désormais inaccessible en ligne, se présentait sous la forme de cinq tableaux recensant 51 000 interactions entre les consommateurs et le service clientèle de l’entreprise. Une vaste palette de données étaient accessible, allant des mails échangés avec la plateforme, aux noms et coordonnées de certains clients, en passant par des enregistrements téléphoniques entre agents et consommateurs de l’entreprise.
1er tableau, « cases ».
Dans ce tableau il était possible de retrouver les demandes des clients, leurs noms, adresses mail, numéros de téléphone et la date et l’heure de l’échange avec Vistaprint. Le tableau comportait notamment des données confidentielles de l’entreprise, comme la nature de la demande de la personne sollicitant le service client, si la demande était « neutre » ou « négative » et la priorité de la demande.
2er tableau, « chat ».
Ici c’était les interactions en ligne qui étaient recensées. Vistaprint y affichait des informations sur le navigateur, la connexion réseau, le système d’exploitation, le fournisseur internet du client ainsi que le lieu duquel il a échangé avec Vistaprint.
3e tableau, « mail ».
Comme son nom l’indique, dans cette partie-ci étaient recensés les fils de mails échangés par les services de l’entreprise et ses clients. Avec potentiellement de nombreuses informations personnelles se retrouvant dans ces échanges.
4e tableau, « téléphone ».
Selon la même logique, cette section de la base de données recense la date et l’heure de l’appel, le temps de mise en attente, une transcription de l’appel et un lien vers l’enregistrement de l’appel.
TechCrunch, qui a révélé publiquement la faille, ne donne pas de précisions sur le 5e et dernier tableau expliquant simplement que des adresses mail et téléphoniques du service client de Vistaprint était également visibles sur le document.
Vistaprint admet une faille « inacceptable »
Contacté par TechCrunch l’entreprise a admis qu’une telle faille était « inacceptable » et « n’aurait pas dû se produire en aucune circonstance ». Par ailleurs, l’entreprise a expliqué mener une enquête interne sur l’incident. Elle a également ajouté que les clients potentiellement impactés par la faille de l’entreprise seraient prévenus.
Les raisons pour lesquelles la base de données a été mise en ligne en libre accès restent incertaines. Le document était nommé « migration », ce qui pourrait suggérer qu’il servait à stocker des données en attendant leur transfert entre deux serveurs. Une défaillance interne, un laxisme en matière de sécurité, comme ce fut par exemple le cas Gearbest, ou plus près de l’Hexagone, chez Bouygues. Ce genre d’incident est souvent provoqué par une simple étourderie bien humaine, c’est typiquement le genre de faille qu’il faut s’attendre à voir apparaître régulièrement à l’avenir.
