Un peu plus d'un an après la découverte d'une base de données de Decathlon Espagne sur un serveur Elasticsearch non sécurisé exposant 123 millions d'enregistrements, VPNmentor a encore frappé. Ses chercheurs en sécurité ont en effet trouvé cette fois une base de données personnelles affectant près de 8% des employés de l'enseigne de sport. L'origine de cet incident a également été établi et une mauvaise configuration de bucket S3 chez un partenaire du groupe est pointée du doigt. Selon VPNmentor, la société de conseil Bluenove a pour le compte de Deacathlon mené une enquête interne baptisée « Vision 2030 ». Dans le cadre de son activité, un bucket AWS S3 a été utilisé et s'est avéré mal configuré. Les erreurs de configuration relatives à ce type d'infrastructures sont relativement fréquentes, sans véritablement trouver de parades de la part des entreprises ou les fournisseurs de cloud.

Dans le cadre de sa recherche, VPNmentor a établi que 7 883 salariés de l'enseigne sont concernés par cette exposition de données, sur un total d'environ 96 000 soit un peu moins de 8% des effectifs au niveau mondial. La nature des données concernées est variée : noms, prénoms adresses mail, pays et ville de résidence, photos. A noter que la très grande majorité des données exposées n'ont, selon le fournisseur, rien à voir avec celles de l'enquête menée par Bluenove - ce que ce dernier réfute -, posant la question de savoir comment elles se sont retrouvées sur cette base sans qu'une réponse ait pour le moment été apportée. « les photos peuvent être des photos d'illustration de la plateforme, en aucun cas des photos personnelles des répondants. Quant à la "ville" ou le "pays", les données sont liées aux lieux des magasins Décathlon non des renseignements personnels des répondants », nous a précisé un porte-parole de Bluenove.

Parmi les données concernées, certaines sensibles de sécurité. « Le bucket S3 contenait également des jetons de sécurité (token) qui auraient pu permettre un accès supplémentaire à des comptes privés ou à d'autres zones internes du système de Decathlon. Cependant, nous n'avons pas tenté d'utiliser ces jetons pour des raisons éthiques, mais nous demandons instamment à Decathlon d'enquêter plus avant afin d'éviter les abus par des tiers malveillants », prévient VPNmentor. « Les clés token ne sont pas liées au système d'information de bluenove », nous a précisé de son côté un porte-parole de la société de conseil française. « Nous avons supprimé les fichiers *.xls incriminés qui sont des exports plus denses de cette nature. Ils [VPNmentor] les ont peut-être lues à un autre niveau sur le chemin du bucket. Nos exports ne contiennent pas de token. Nous exportons des metadata telles que celles sur le fichier : horodatage, nom de l'auteur, url de la contribution ».

Une porte ouverte à des campagnes de phishing

Dans son billet, VPNmentor précise le calendrier de la découverte de cet incident. Découverte le 9 mars 2021, cette faille a été portée à la connaissance des différents acteurs et des réactions appropriées de Decathlon et d'AWS ont été effectuées dans la foulée. Le temps d'exposition exact de ces données n'a pas été déterminé, mais sans doute ont-elles commencées à l'être entre mars et novembre 2020. Un temps infini à l'échelle de la cybersécurité ayant pu déboucher au pire.

« Si des pirates avaient eu accès à ces données, ils auraient pu cibler des milliers d'employés et de clients de Decathlon avec diverses formes de fraude en ligne et d'attaque virale. En combinant les données personnelles d'un individu, les informations sur les enquêtes effectuées et d'autres détails exposés, les pirates auraient pu créer des campagnes de phishing très efficaces se faisant passer pour Bluenove ou Decathlon par e-mail ou par téléphone. Ce faisant, ils pourraient facilement convaincre les gens de fournir des données encore plus sensibles à des fins frauduleuses ou en cliquant sur des liens intégrés avec des malware, des logiciels espions ou d'autres vecteurs ».

Une analyse d’impact menée par Decathlon

VPNmentor explique que Bluenove aurait pu éviter cette situation en prenant quelques actions de sécurisation de ses serveurs, mise en œuvre des règles d'accès appropriées et ne jamais laisser un système qui ne nécessite pas d’authentification ouvert sur le web. « Rendre le bucket privé en ajoutant des protocoles d'authentification, suivre les meilleures pratiques d'accès et d'authentification AWS, et ajouter plus de couches de protection aux compartiments S3 pour restreindre davantage les personnes pouvant y accéder à partir de chaque point d'entrée », sont des conseils et bonnes pratiques que toutes les entreprises devraient également suivre. « L'ensemble de nos buckets pour nos concertations sont chiffrés. Lorsque les débats sont publics, nous créons des buckets pour les ressources publiques qui sont publiées et accessibles. Nous avons privilégié la mise en place de gestion des clés chiffrées et de profils via le système sécurisé IAM depuis que nous hébergeons nos démarches sur AWS », argumente de son côté Bluenove.

Sollicité par la rédaction pour en savoir plus sur cette affaire, un porte-parole de Decathlon nous a apporté les précisions suivantes : « Un espace de stockage de données Decathlon, appartenant à l’un de ses prestataires, et géré par ses soins a été exposé sur internet. Aucune donnée n'a été divulguée ni utilisée par des tiers. Aucune donnée bancaire ni mot de passe n'a été concerné. Decathlon, tenu informé le 12 avril 2021, a immédiatement pris les mesures nécessaires pour faire cesser cette exposition. Dès connaissance de l’incident, Decathlon a requis la fermeture expresse de l’espace de stockage, initié pour mener un sondage. Cet espace de stockage a été fermé le 14 avril. Decathlon, dont la sécurité des données est la priorité, a mené l’analyse d’impact requise dans ce type de situation (cf. article 33 du RGPD). Cette analyse d’impact n’a pas mis en lumière de risque pour les personnes concernées ».

MAJ du 21 mai 2021 à 11h30. Suite à la publication de l'article, un porte-parole de Bluenove qui n'avait pas encore répondu à nos questions, a apporté les précisions suivantes : « Nous déplorons clairement cette exposition de données. Même s’il s’agit de données non critiques, en tant que société technologique, nous devons au quotidien mettre en œuvre tous les moyens possibles pour que les données de nos consultations soient protégées. Dès la remontée d’alerte, nous avons, de pair avec notre client, réalisé toutes les actions nécessaires pour résoudre le problème le plus rapidement possible. Suite à l'information de Decathlon le 12 Avril 2021, nous avons passé l'espace concerné en état "fermé" et recherché sur l'espace de stockage le fichier contenant les données du débat Decathlon. Nous avons ensuite informé Decathlon des données exposées (nom, prénom, adresses email et contributions à la consultation) par voie chiffrée, et investigué si des fuites potentielles avaient eu lieu. Nos différentes recherches ont présenté des résultats résiduels Aussi, nous avons pris connaissances de la classification des risques de la CNIL pour mettre en place les mesures organisationnelles Au regard du faible nombre de données exposés et de leur nature, nous avons supprimé ces éléments et informé Decathlon ».