Tout commence en février 2024, quand un utilisateur portant le pseudonyme « KryptonZambie » met en vente 132,8 millions de contacts sur un forum de hackers. Les informations incluent noms, adresses, emails, téléphones, fonctions professionnelles et liens vers les profils sur les réseaux sociaux. L’origine de cette base est rapidement attribuée à DemandScience, une société spécialisée dans la collecte de données pour le marketing B2B.
Le danger des bases de données à la retraite
Interrogée à l’époque, l’entreprise avait fermement nié toute faille de sécurité. « Nos systèmes sont protégés par des pare-feux, des VPN et des systèmes de détection d’intrusion. Nous n’avons trouvé aucune preuve de piratage », déclarait Derek Beckwith, directeur de la communication. Pourtant, les échantillons de données disponibles semblaient bel et bien provenir de leurs bases, mais la société s’était contentée de promettre une surveillance renforcée sans en dire davantage.
L’affaire aurait pu s’arrêter là, mais en août, les données ont refait surface, cette fois quasiment données gratuitement, pour quelques dollars symboliques. De quoi attiser les soupçons sur leur authenticité.
C’est finalement en novembre 2024 que Troy Hunt, expert en cybersécurité et créateur du site Have I Been Pwned (HIBP), met fin aux doutes : les données sont authentiques. Selon lui, une personne concernée par la fuite a contacté DemandScience, qui a fini par admettre que les informations provenaient d’un système désactivé depuis deux ans.
Dans un email, l’entreprise explique : « Après enquête, nous confirmons que nos systèmes actuels n’ont pas été compromis. La fuite concerne un ancien système décommissionné depuis environ deux ans. » Troy Hunt a même retrouvé ses propres informations dans la base de données. Une preuve de l’ancienneté des données : elles remontaient à l’époque où il travaillait chez Pfizer.
Depuis, les 122 millions d’emails uniques ont été ajoutés au site HIBP. Les utilisateurs concernés recevront une notification pour vérifier si leurs données font partie de cette fuite. Si l’affaire est particulièrement embarrassante pour DemandScience, elle met en lumière un problème plus large : la négligence vis-à-vis des anciens systèmes.
Trop d’entreprises oublient que même les bases de données « à la retraite » peuvent encore faire l’objet de convoitises. Cette fuite rappelle qu’en matière de cybersécurité, tout ce qui est laissé de côté peut revenir hanter son propriétaire.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
