Un chercheur en cybersécurité, Justin Paine, a découvert le 7 mai une base de données appartenant au plus grand opérateur téléphonique thaïlandais, AIS. Sur cette base de données, il était possible de suivre les sites internet consultés par les internautes en temps réel, jusqu’à 8 milliards d’enregistrements.

Les historiques de navigations, mais pas de mot de passe ou d’adresse e-mail de clients d'AIS

La découverte de Justin Paine a de quoi faire frémir. Une base de données en libre accès permettait de suivre en direct la navigation internet des clients d’AIS, le plus grand opérateur Thaïlandandais avec près 39,87 millions de clients en 2016 (Orange en France c’est 28,82 millions de clients en 2017).

Concrètement, grâce à la base de données il était possible de connaître le navigateur, les appareils, les sites web et applications consultés par un utilisateur. Pas de mots de passe ou d’adresse mail en revanche.

Techniquement les données accessibles se répartissent entre les requêtes DNS et le Netflow. Les requêtes DNS permettent d’identifier les sites web qu’une personne connectée va consulter. Le Netflow permet de collecter des informations sur les flux IP.

Le chercheur en cybersécurité a cherché dans un premier temps à avertir directement AIS, le 13 mai. En l’absence de réponse de l’entreprise, il a joint ThaiCERT, l’autorité thaïlandaise officielle en cybersécurité. C’est grâce à l’intervention de l’institution que la base de données a été rendue inaccessible le 22 mai.

Par le biais de son porte-parole, l’AIS a confirmé « qu’une petite quantité d’informations non personnelles et non critiques a été exposée pendant une période limitée, en mai, lors d’un test programmé ». ’entreprise a ajouté que « toutes les données concernaient les habitudes d'utilisation d'Internet et ne contenaient pas d'informations personnelles pouvant être utilisées pour identifier un client ».

Les incontournables requêtes DNS

Une réponse remise en cause par Justin Paine qui estime qu’il était possible de déterminer le cheminement sur internet, l’historique, d’une connexion en particulier. Une connexion qui peut, en revanche, être partagée entre plusieurs personnes.

Il est normal que les requêtes DNS soient collectées par les opérateurs. Aux États-Unis, en avril 2017, Donald Trump a autorisé les Fournisseurs d’Accès Internet (FAI) à revendre ces données à des acteurs privées. Elles sont très utiles pour la publicité ciblée notamment.

En France une telle décision serait impossible d’après un article de Numerama de 2017. Pour les personnes qui restent inquiètes pour leurs données Justin Paine suggère d’utiliser la technologie DNS over HTTPS qui permet de crypter sa navigation. Une technologie bientôt accessible via la nouvelle version de Chrome.