Un mot de passe par défaut, des milliers de comptes ouverts
Un ingénieur en sécurité informatique, accessoirement moniteur de plongée, découvre par hasard une faille béante dans le portail de son assureur plongée. Le genre de faille tellement basique qu’on n’ose pas y croire : des identifiants incrémentaux (1, 2, 3…) et un mot de passe par défaut identique pour tous les comptes. Pas de verrouillage après tentatives ratées. Pas d’authentification à deux facteurs. Rien.
Résultat : noms, adresses, numéros de téléphone, dates de naissance, y compris ceux de mineurs, accessibles à quiconque savait compter. L’affaire, racontée sur le blog de l’ingénieur allemand, a explosé sur Hacker News cette semaine avec près de 800 votes.
Le protocole respecté à la lettre
Le chercheur a fait les choses dans les règles. Il contacte d’abord le CSIRT de Malte (l’organisme national compétent, l’assureur étant enregistré là-bas), puis envoie un mail détaillé à l’entreprise avec copie au CSIRT. Il propose un délai de 30 jours pour corriger le problème avant toute divulgation publique. Il joint une preuve de concept chiffrée, des captures d’écran partiellement masquées, et offre son aide technique. Bref, du responsible disclosure textbook.
En guise de merci, un courrier d’avocat
Deux jours plus tard, la réponse arrive. Pas de l’équipe technique. Du cabinet d’avocats du DPO (délégué à la protection des données). Le ton démarre courtois, l’entreprise reconnaît le problème, annonce une réinitialisation des mots de passe et promet de déployer la 2FA.
Et puis ça dérape. Le courrier reproche au chercheur d’avoir prévenu le CSIRT avant l’entreprise, ce qui « crée des complexités » et « expose à une responsabilité injuste ». L’entreprise qualifie le délai de 30 jours de « menace de divulgation publique » et rappelle que ses actions « constituent probablement une infraction pénale selon le droit maltais ». Un formulaire de confidentialité accompagne le tout, avec demande de numéro de passeport.
On résume : leur portail laissait fuiter les données personnelles de milliers de membres (dont des enfants), et c’est le type qui a trouvé la faille qui se retrouve menacé de poursuites.
Un problème qui dépasse cette entreprise
Ce cas n’est pas isolé. Selon The Register et Ars Technica, les chercheurs en sécurité font régulièrement face à des menaces juridiques lorsqu’ils signalent des vulnérabilités. L’Europe a pourtant cadré les choses : la directive NIS2, entrée en vigueur en 2024, encourage la divulgation coordonnée et protège théoriquement les chercheurs de bonne foi. Malte dispose même d’une politique nationale de divulgation coordonnée (NCVDP) qui encadre précisément ce processus.
Le problème, c’est l’écart entre la théorie et la pratique. Beaucoup d’entreprises n’ont toujours pas de programme de bug bounty ni de canal dédié pour les signalements. Le réflexe « appeler l’avocat » reste dominant. Sur Hacker News, plusieurs chercheurs en sécurité témoignent avoir vécu des situations similaires, même avec des entreprises qui disposent de programmes de récompense officiels.
Tuer le messager, une stratégie perdante
L’ironie, comme le souligne l’auteur du billet, c’est que la menace juridique a causé bien plus de dégâts réputationnels que la faille elle-même. Les vulnérabilités, ça arrive à tout le monde. Mais menacer la personne qui vous aide à les corriger ? Ça raconte quelque chose sur la culture sécurité d’une organisation. Et ce n’est pas flatteur.
La faille a été corrigée depuis. Les utilisateurs affectés n’ont, à la connaissance du chercheur, jamais été prévenus de l’exposition de leurs données. Huit mois après l’expiration de l’embargo, il a fini par publier son récit. Difficile de lui donner tort.
