HackerOne fait métier de traquer les vulnérabilités pour le compte du Pentagone, de Goldman Sachs ou d’Anthropic. Cette fois, c’est l’un de ses propres prestataires qui en cachait une, parmi les plus élémentaires du répertoire. Résultat : les données personnelles de 287 employés de la plateforme se retrouvent dans la nature.
La plus grande plateforme de bug bounty au monde, qui coordonne plus de 1 950 programmes de chasse aux failles pour des clients comme Uber, GitHub ou General Motors, a déposé une déclaration le 24 mars 2026 auprès du procureur général du Maine. L’intrusion ne vient pas de ses propres serveurs, mais de ceux de Navia Benefit Solutions, un gestionnaire d’avantages sociaux américain utilisé par plus de 10 000 employeurs aux États-Unis.
La faille n°1 du classement mondial, rien que ça
La vulnérabilité exploitée s’appelle BOLA (Broken Object Level Authorization). Concrètement, l’interface de programmation de Navia permettait à quiconque d’accéder aux données d’un autre utilisateur en modifiant un simple identifiant dans la requête. Pas besoin de mot de passe volé, pas besoin de technique sophistiquée : il suffisait de changer un numéro dans l’adresse pour consulter le dossier du voisin.
Ce type de défaut figure en première position du classement OWASP API Security Top 10, la référence mondiale des vulnérabilités les plus répandues dans les interfaces de programmation. L’OWASP (Open Worldwide Application Security Project) est un organisme à but non lucratif qui catalogue les risques de sécurité web depuis plus de vingt ans. Autrement dit, la faille qui a compromis les données de HackerOne est littéralement la première qu’on apprend à repérer en formation de cybersécurité.
Un attaquant non identifié a exploité cette brèche entre le 22 décembre 2025 et le 15 janvier 2026, selon le dossier déposé dans le Maine. Pendant près de trois semaines, les données ont circulé sans que personne ne détecte quoi que ce soit.
Numéros de sécurité sociale, adresses, ayants droit
La liste des informations dérobées ressemble à un kit d’usurpation d’identité prêt à l’emploi. Numéros de sécurité sociale, noms complets, adresses postales, numéros de téléphone, dates de naissance, adresses électroniques, dates d’inscription et de résiliation aux régimes de protection sociale. Pour certains employés, les mêmes données concernant leurs personnes à charge ont aussi été aspirées.
HackerOne a recommandé à ses salariés de surveiller leurs comptes financiers, de se méfier des tentatives d’hameçonnage et de profiter des douze mois de surveillance d’identité offerts par Navia. La société leur a aussi conseillé de modifier les mots de passe ou les questions de sécurité liés aux informations exposées, précise BleepingComputer.
HackerOne furieux contre la lenteur de son prestataire
Ce qui agace visiblement la plateforme, c’est le calendrier. Navia a repéré une activité suspecte dans ses systèmes le 23 janvier 2026, selon sa propre déclaration. Les courriers de notification aux entreprises clientes portent la date du 20 février. Mais HackerOne affirme ne les avoir reçus qu’en mars, soit plus de deux mois après le début de l’intrusion, rapporte The Register.
Dans sa notification aux autorités du Maine, la plateforme indique qu’elle attend toujours « une raison satisfaisante pour le retard de notification ». Elle ajoute qu’elle réévalue les pratiques de sécurité et de confidentialité de Navia, et qu’elle envisage de « chercher d’autres fournisseurs de prestations sociales » si le bilan s’avère insuffisant.
2,6 millions de victimes au total
Les 287 employés de HackerOne ne représentent qu’une fraction du désastre. Navia a déclaré la semaine précédente au procureur du Maine que l’incident touchait au total plus de 2,6 millions de personnes à travers les milliers d’entreprises qu’elle administre, selon BleepingComputer. Le site web de Navia était d’ailleurs inaccessible au moment des premières publications sur l’affaire, sans que le lien avec la brèche soit confirmé.
Le gestionnaire de prestations affirme pour l’instant qu’aucune utilisation frauduleuse des données n’a été constatée, et qu’aucune donnée financière ou de remboursement n’a été compromise. Aucun groupe de cybercriminalité ni opération de rançongiciel n’a revendiqué l’attaque à ce jour.
Le sous-traitant, éternel maillon faible
La situation a quelque chose de grinçant. HackerOne existe pour aider les entreprises à découvrir les failles dans leurs systèmes avant que des attaquants ne le fassent. Ses chasseurs de bugs, répartis dans le monde entier, repèrent chaque année des milliers de vulnérabilités, y compris des failles BOLA strictement identiques à celle qui a permis de siphonner leurs propres données.
Cette affaire rappelle une constante de l’industrie : la sécurité d’une organisation ne vaut que celle de son partenaire le plus fragile. L’incident s’inscrit dans une série de brèches causées par des tiers : le piratage de SolarWinds en 2020, qui avait compromis des agences fédérales américaines via une mise à jour logicielle corrompue, ou l’attaque contre le logiciel de transfert MOVEit en 2023, qui avait exposé les données de plusieurs centaines d’organisations en cascade. Selon un rapport de SecurityScorecard publié en 2024, 29 % des brèches de données majeures impliquaient déjà un prestataire externe. Le chiffre progresse d’année en année, à mesure que les entreprises externalisent davantage de fonctions critiques sans toujours imposer les mêmes exigences de sécurité à leurs partenaires.
La question du délai de notification
Pour HackerOne, l’enjeu dépasse la seule fuite de données. La plateforme compte parmi ses clients le Département de la Défense américain, et se retrouve dans la position inconfortable de devoir expliquer comment les informations de ses propres salariés ont pu fuiter via un sous-traitant mal protégé.
Le débat porte désormais sur les délais de signalement. La loi du Maine, qui impose une déclaration rapide aux autorités, a permis de rendre l’incident public. Mais l’écart entre la détection par Navia le 23 janvier et la réception effective par HackerOne en mars illustre les zones grises qui persistent dans la chaîne de signalement. La Federal Trade Commission (FTC) a renforcé fin 2025 ses lignes directrices sur les délais imposés aux sous-traitants, en fixant un seuil maximal de 30 jours après détection. Si Navia a dépassé cette limite, l’entreprise pourrait faire face à des sanctions fédérales.
