Fuite massive de données pour le géant de la beauté Estée Lauder (MAC, Michael Kors…) : est-ce grave ?

Le nombre donne le vertige : 440 millions de données de Estée Lauder étaient exposées en ligne. Le géant des produits de beauté se trouve derrière une vingtaine d’entreprises, parmi lesquelles Clinique, MAC, Tommy Hilfiger ou encore Michael Kors. Grâce à cet empire, il dégage un chiffre d’affaires annuel de plus de 14,8 milliards de dollars.

Le chercheur en cybersécurité Jeremiah Fowler a découvert cette fuite le 30 janvier et elle a été réparée presque immédiatement par le fabricant. S’il donne plusieurs informations sur la fuite, il laisse cependant de nombreuses zones d’ombres. Difficile donc d’estimer avec précision ses conséquences.

Que s’est-il passé ?

Le 30 janvier, Jeremiah Fowler a découvert une base de données non protégée. Elle donnait accès à précisément 440 336 852 de lignes de données. En s’y penchant de plus près, le chercheur a conclu que la base contenait des données de Estée Lauder. Toute personne qui disposait de l’adresse de la base pouvait y accéder librement, sans mot de passe. Le tout sans compétence technique, avec seulement une connexion internet.

Le chercheur affirme avoir immédiatement contacté l’entreprise, non sans difficulté : « après avoir appelé tous les numéros de téléphone que j’ai pu trouver, j’ai enfin réussi à être en contact avec quelqu’un, qui m’a promis qu’il passerait l’information. » En revanche, il salue l’attitude et la réactivité des principaux concernés pour réparer cette fuite dans la journée. Aucune trace d’utilisation malveillante de ces données n’a pour l’instant été découverte.

Il a publié ses trouvailles le 11 février 2020, une fois passés les délais de sécurité.

Quelles données étaient exposées ?

• Un « grand nombre » d’emails : parmi les adresses exposées, plusieurs appartenaient vraisemblablement à des employés du groupe, au nom de domaine @estee.com. De son côté, Estée Lauder a affirmé qu’il s’agissait d’emails de « non-consommateur ». Le chercheur n’a pas pu évaluer le nombre exact d’emails exposés, mais spécule qu’ils sont liés aux ventes en ligne.
• Des informations liées à l’identification des machines : adresses IP, ports et informations de stockage.
• Les « logs », c’est-à-dire l’historique, de plusieurs éléments : production, audit, SMS et le middleware. Ce dernier est une couche logicielle impliquée dans le fonctionnement de plusieurs applications : la gestion des données, l’authentification, ou encore la gestion des API par exemple.
• Des références à des rapports et d’autres documents internes.

Le chercheur ne sait pas avec précision pendant combien de temps ces données ont été exposées.

Quels sont les risques si une personne malveillante met la main sur ces données ?

La fuite offre plusieurs informations précieuses pour les malfaiteurs : par exemple quelles versions des logiciels sont utilisées, ou comment circule l’information. Ils peuvent ainsi mieux préparer leurs attaques.

Jeremiah Fowler prévient : avec les millions de données liées au middleware utilisé par Estée Lauder, des hackers pourraient créer un chemin — une backdoor — qui leur permettrait déployer des logiciels malveillants. Ils pourraient ensuite voler ou prendre en otage des données de l’entreprise.

En revanche, le risque direct pour les clients paraît limité, puisque leurs informations directes n’étaient vraisemblablement pas accessibles.

Suis-je concerné ?

Si vous résidez sur le territoire de l’Union européenne, vous êtes protégé par le RGPD, et une entreprise victime d’une fuite aura  l’obligation de vous avertir. Vous devriez donc être contacté si vos données ont été exposées, mais Estée Lauder a affirmé qu’il n’y avait pas de données clients.