Decathlon et BlueNove épinglés pour avoir exposé des données

Decathlon et BlueNove épinglés pour avoir exposé des données

En matière de signalement des fuites de données, il vaut parfois mieux s’adresser au responsable qu’au prestataire : au début du mois de mars, la société VPNMentor a ainsi découvert une base de données Amazon S3 Bucket mal configurée exposant les données de plus de 7800 salariés et clients de Decathlon.

Parmi les données exposées, VPN Mentor indique avoir identifié des données personnelles, nom, prénom, adresse e-mail, numéros de téléphone, villes et pays de résidence et photos, ainsi que des tokens d’authentification. Si les données appartiennent bien à des employés de Decathlon, ce n’est pas la chaîne de magasin de sport qui est directement responsable de la configuration de cette base de données : celle-ci a été confiée à la société BlueNove, qui agissait en tant que prestataire pour Decathlon.

Les données ont été récoltées dans le cadre d’un projet de sondage en interne baptisé Vision 2030 et qui cherchait à consulter les employés et partenaires de la chaîne de magasins sur les ambitions et les valeurs de la société sur les dix prochaines années. BlueNove, qui se positionne comme une société spécialisée dans « l’intelligence collective » a donc été désignée pour mener le projet.

Malheureusement, le projet est passé dans le radar de VPNMentor : cette société qui propose des comparatifs de VPN s’est lancée dans un projet de « cartographie du web », qui vise essentiellement à identifier les bases de données exposant des données sur le web. La société se charge ensuite de prendre contact avec les entreprises concernées et, une fois que le problème a été corrigé, en profite pour publier sur son blog un post reprenant tous les détails de leur découverte.

publicité

Désaccords sur la chronologie

Si l’on se fie au post de VPNMentor, le signalement de la faille ne s’est pas fait si facilement. La société affirme avoir tenté de contacter BlueNove et Amazon au mois de mars afin de leur signaler les données exposées. VPNMentor indique avoir échangé des mails avec l’équipe de BlueNove, sans obtenir de correction de la faille. La société explique avoir finalement contacté Decathlon au 12 avril. Deux jours après, l’exposition des données était corrigée.Il aura donc fallu attendre plus d’un mois et demi et contacter plusieurs responsables pour finalement sécuriser la base de données.

Le son de cloche est différent quand on pose la question à BlueNove : la communication de la société explique avoir pris connaissance de l’alerte via un mail envoyé le 12 avril à l’un de ses managers, qui avait rédigé un article sur le partenariat avec Decathlon. Un mail en anglais faisant référence à une « faille de sécurité importante » sans donner plus de détails, « le genre de chose qu’on classe assez facilement en spam » commente une porte-parole de BlueNove. Aucun autre message n’a été identifié du côté de BlueNove, qui n’exclut pourtant pas la possibilité qu’un message soit passé sous les radars.

Sur les données concernées, BlueNove n’est pas non plus d’accord : «  Les données concernées (noms, prénoms, adresses email, ville) ne sont pas des données considérées “sensibles” par la CNIL. L’analyse d’impact n’a pas mis en lumière de risque pour les personnes concernées. Par ailleurs, la ville renseignée ou le pays peuvent être liés aux lieux des magasins Décathlon, nous ne récoltons pas les adresses des participants ni leurs photos. » Les données ont donc effectivement été exposées sur le réseau, mais n’ont à première vue pas été exploitées par des tiers malveillants.

« Nous avons des adresses dédiées, une pour le support technique et une pour le Data Protection Officer, qui peuvent être contacté pour signaler ce genre de cas de figure » rappelle la porte-parole de BlueNove. Ce mécanisme qui ne semble pas avoir fonctionné comme prévu dans ce cas précis, mais VPNMentor n’indique pas dans son post les adresses utilisées pour contacter l’entreprise. Interrogée par ZDNet sur ce sujet, la société n’avait pas répondu à nos questions à l’heure de la publication de cet article.

Si BlueNove déplore cette exposition accidentelle de données, la société estime que la publication de VPNMentor n’est donc pas tout à fait exacte. Ils ne sont d’ailleurs pas les premiers à se plaindre de la stratégie de l’entreprise en matière de signalement des failles de sécurité, mais on pourra toujours objecter que personne n’aime se faire afficher publiquement sur ses erreurs.

Signaler, c’est toujours compliqué

Le signalement de vulnérabilités ou de failles de sécurité est toujours un sujet épineux, comme le rappelle Rayna Stamboliyska, VP Governance et Public Affairs de YesWeHack et autrice d’un livre blanc sur la question du signalement coordonné des vulnérabilités : « Dans ce cas de figure, il faut bien comprendre qu’il n’y a aucune relation contractuelle entre les parties, ce qui complique évidemment la chose. Ici, c’est la bonne foi des chercheurs qui entre en ligne de compte ». Ce type de signalement peut en effet rapidement se révéler complexe pour les deux sociétés : la victime de la fuite de données n’a aucune envie de se voir présentée comme négligente avec les données de ses clients, et la société ou le chercheur ayant découvert la fuite peut s’exposer à des recours en justice si ses recherches sont un peu trop approfondies.

Un cadre existe en la matière au travers de deux normes ISO ISO29147 et ISO30111, qui définissent les bonnes pratiques pour la remontée de vulnérabilité. Et différentes solutions existent pour les entreprises qui souhaitent se préparer à ce type de signalements : « Le minimum, c’est la mise en place d’un fichier security.txt sur le site de la société, mais les entreprises peuvent également détailler sur leur site une politique de divulgation avec des adresses de contact claires pour remonter ce type d’incident, voire des engagements à répondre sous un certain délai » indique Rayna Stamboliyska.

Le vol de données n’est donc pas le seul risque à prendre en compte dans ce type d’affaires, on peut également craindre qu’un tiers tombe sur les données et vous fasse une mauvaise publicité : VPNMentor n’est en effet pas la seule société à pratiquer ce genre de signalement suivi d’une publication, et mieux vaut se préparer à cette éventualité à l’avance. « De toute façon, il y aura toujours des failles alors mieux vaut être prêt » résume Rayna Stamboliyska.

Leave a Reply

Your email address will not be published. Required fields are marked *