Razer accuse un raté dans sa sécurité : les données de 100 000 clients de son site razer.com ont été laissées pendant au moins trois semaines sans protection. Dans le détail, la fuite contient : le prénom, le nom, l’email, le numéro de téléphone, les numéros de commande, ainsi que les adresses de facturation et de paiement.
Le chercheur réputé Bob Diachenko, qui a découvert la fuite, a alerté Razer le 18 août. Malgré de nombreux échanges avec les équipes du constructeur de matériel pour gamers, la fuite n’a été réparée que plus de deux semaines plus tard. Si les entreprises sont jugées sur leur capacité à éviter les fuites de données, elles le sont encore plus sur leur capacité à réagir en cas d’incident.
Une expérience menée plus tôt dans l’année sur une base de données ouverte exposait qu’il fallait moins de 9 heures pour qu’une personne la télécharge. Et 11 jours plus tard, plus de 150 personnes y avaient eu accès. Autant dire que le délai de réaction de Razer est trop important pour que l’entreprise puisse garantir que les données n’ont pas fuité. Et encore, c’est sans compter que lorsque Bob Diachenko a découvert la base de données, elle était peut-être exposée depuis plus longtemps. Dans un communiqué relayé par Diachenko, Razer remercie le chercheur et précise « qu’aucune autre donnée sensible comme les numéros de carte de crédit ou les mots de passe n’ont été exposées. »
Si vous avez récemment commandé sur Razer, le chercheur rappelle qu’il vous faut redoubler de vigilance face aux messages que vous recevez. Des cybercriminels pourraient vous envoyer des emails de phishing sur votre email ou des SMS sur votre téléphone en utilisant les informations contenues dans la faille. Par exemple, ils peuvent savoir que vous avez commandé un clavier, et prétendre vous offrir un casque ou une souris. Leur objectif : dérober d’autres informations (comme vos données bancaires), ou vous faire installer un malware.
De son côté Razer met en avant une adresse de contact (américaine) pour les clients qui se poserait des questions. Dans un communiqué envoyé à Cyberguerre, l’entreprise écrit : « Nous nous excusons pour le laps de temps et nous avons pris toutes les mesures nécessaires pour réparer le problème, tout en conduisant une revue de notre sécurité informatique et de nos systèmes. Nous continuons à nous engager à respecter la sécurité numérique de tous nos clients. Les clients qui ont des questions peuvent nous contacter à [email protected]. »
L’erreur de Razer est malheureusement commune
Plus précisément, la fuite est causée par la mauvaise configuration d’un serveur Elasticsearch de Razer. Sorte de tableur Excel géant, cette technologie permet d’analyser et d’organiser d’importantes bases de donnés avec une grande efficacité. Seulement, sa sécurisation s’avère difficile à paramétrer, malgré les efforts des développeurs d’Elastic pour la rendre plus accessible.
Quand l’ElasticSearch est mal configuré, n’importe qui peut accéder à la base de donnée sans mot de passe, depuis un navigateur web, à condition d’avoir son adresse IP. C’est le cas de celle Razer, et cela signifie que n’importe qui peut la télécharger, la modifier ou la supprimer. Au bout d’une certaine durée d’exposition, elle finit par être indexée par des moteurs de recherches comme Shodan.
Ce problème de sécurité est tellement répandu que certains chercheurs comme Bob Diachenko se sont spécialisés dans leur traque. Le fautif est toujours le même : le port 9200 du serveur, l’expert sait donc où chercher.
Au moins, ces fuites sont faciles à réparer : quelques heures suffisent à mettre en place des identifiants pour se connecter à la base de données. Ce qui n’empêche pas des organisations comme Microsoft, le Service civique, des forums de BDSM et bien d’autres de ne pas voir la fuite.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !