Plus de 100 000 données d'employés des Nations Unies hackées

Une enquête menée par le groupe de hackers éthiques Sakura Samurai montre que plus de 100 000 enregistrements relatifs à des collaborateurs du programme environnemental des Nations Unies présentent un risque de compromission. Les identifiants de base de données Wordpress peuvent aussi être concernés.

Des grandes administrations aux petites entreprises en passant par les plus importantes, pas une organisation n'échappe aux cyberattaques de plus en plus nombreuses et ciblées, parfois dévastatrices. Les Nations Unies ne sont pas épargnées, avec dans le collimateur des pirates cette fois des employés travaillant pour le programme de l'environnement (United Nations Environment Programme).

Ce sont des chercheurs en sécurité de Sakura Samurai qui ont révélé le fruit de leur enquête portant sur l'exposition à des risques de compromission de plus de 100 000 enregistrements concernant des collaborateurs de l'UNEP. Des documents et captures d'écran partagées avec Bleeping Computer montrent que des répertoires .git et identifiants associés ont été exposés, incluant des fichiers de configuration de sites Wordpress ainsi que des identifiants de bases de données administrateur.

Des données personnelles RH exposées

« De même, différents fichiers PHP exposés dans le cadre de cette violation de données contenaient des informations d'identification de base de données en texte brut associées à d'autres systèmes en ligne du PNUE et de l'ONU-OIT. En outre, les fichiers .git-credentials accessibles au public ont permis aux chercheurs de mettre la main sur la base de code source du PNUE », ont prévenu les chercheurs du groupe de hackers éthiques.

Parmi les données que les chercheurs sont parvenus à hacker, on trouve aussi bien des noms d'employés - avec à la clé des risques d'hameçonnage directs ou d'opérations malveillantes par ingénierie sociale - que des justificatifs de voyages, les dates de début et de fin de contrat... Des accès ont également eu lieu à des informations géographiques mais aussi de type RH et sociales (sexe, grade, rapports d'entretiens...).

Les Nations Unies déjà hackées

Après avoir trouvé ces failles, les chercheurs en sécurité ont prévenu les Nations Unies le 4 janvier 2021. L'organisation a mis quelques jours avant de combler les vulnérabilités identifiées. « En tout, nous avons trouvé 7 paires d'identifiants supplémentaires qui auraient pu aboutir à des accès non autorisés à de multiples bases de données ». Pour l'heure, aucun groupe de pirates n'a revendiqué une éventuelle cyberattaque concernant l'exploit de vulnérabilités identifié par les chercheurs en sécurité, mais la facilité avec laquelle ces derniers ont pu mettre la main sur ces données laissent à penser qu'un ou plusieurs groupes de pirates s'en sont déjà emparées.

Ce n'est pas la première fois que la sécurité des systèmes d'information des Nations Unies est prise en défaut. Cela avait déjà été le cas en 2019 avec des compromissions qui ont concerné plusieurs de ses réseaux et bases de données, ou encore en 2020 avec l'exploit d'une vulnérabilité SharePoint.