VPNmentor vient de publier sa nouvelle enquête sur une exposition de données massive. Selon l'agence de cybersécurité, une base de données personnelles concernant 8% des effectifs de Decathlon (7883 salariés) a été exposée pendant plusieurs mois. La mauvaise configuration d'un serveur AWS S3 serait la cause de cette faille. Un incident qui rappelle évidemment la faille de sécurité de 2020 qui avait exposé 123 millions de données clients...

Le groupe Decathlon doit-il s'attendre à subir des cyberattaques ?

Dans son enquête, VPNmentor montre que la nature des données exposées est variée. On retrouve notamment des noms, des prénoms, des adresses e-mail, les pays ou la ville de résidence, ainsi que des photos. Parallèlement, la société de conseil Bluenove a également mené une enquête interne pour le compte de Decathlon baptisée "Vision 2030". Les chercheurs de Bluenove précisent que : "les photos exposées sont des photos d'illustration de la plateforme, mais en aucun cas des photos personnelles des salariés. Quant à la "ville" ou le "pays", les données sont liées aux lieux des magasins Decathlon et non aux renseignements personnels des personnes concernées".

Autant de données exposées pourraient permettre à des hackers de mettre en place des campagnes de phishing efficaces en se faisant passer pour Decathlon, par e-mail ou même par téléphone. De nombreux salariés pourraient alors révéler des informations importantes, donner leur mot de passe ou cliquer sur des liens inappropriés contenant un malware. Dans son enquête, VPNmentor n'a pas pu déterminer le temps d'exposition exact des données, mais les chercheurs estiment que la faille a eu lieu entre mars et novembre 2020... Une période bien assez longue pour que des personnes mal intentionnées aient pu s'en saisir.

La faille aurait-elle pu être évitée ?

Un porte-parole de Decathlon a répondu aux questions du Monde Informatique. Il explique ceci : "un espace de stockage de données Decathlon, appartenant à l’un de ses prestataires, et géré par ses soins a été exposé sur internet. Aucune donnée n'a été divulguée ni utilisée par des tiers. Aucune donnée bancaire ni mot de passe n'a été concerné. Decathlon, tenu informé le 12 avril 2021, a immédiatement pris les mesures nécessaires pour faire cesser cette exposition". Selon l'enseigne, l'analyse d'impact menée en interne n'a pas révélé de risques pour les salariés concernés.

Pour VPNmentor, une telle exposition aurait certainement pu être évitée. Il serait notamment possible de rendre le bucket privé en ajoutant des protocoles d'authentification. Les chercheurs en cybersécurité ajoutent que : "il est également possible d'ajouter plus de couches de protection aux compartiments S3 pour restreindre davantage les personnes pouvant y accéder à partir de chaque point d'entrée". Bluenove affirme pourtant que l'ensemble des buckets sont chiffrés. Un porte-parole de la société a pris la parole : "nous déplorons clairement cette exposition de données. Même s’il s’agit de données non critiques, en tant que société technologique, nous devons au quotidien mettre en œuvre tous les moyens possibles pour que les données de nos consultations soient protégées".