Plusieurs dizaines de milliers de profils d’intérimaires gérés par l’entreprise d’intérim Mistertemp ont été librement accessibles pendant au moins trois semaines sur Internet, selon un chercheur en sécurité informatique.

Parmi les données personnelles exposées figurent leur identité, leur adresse physique, leur adresse e-mail et leurs numéros de téléphone, et pour une partie d’entre eux, leurs numéros de Sécurité sociale. Un des serveurs contenant ces informations a été mal configuré, devenant accessible à quiconque disposait de son adresse, sans aucun mot de passe : « Une erreur humaine suite à un test », explique Alexandre Pham, le dirigeant d’Alphyr, la maison mère de Mistertemp.

40 000 profils concernés

Selon le chercheur ukrainien à l’origine de la découverte – Bob Diachenko, le directeur cyberrisque de l’entreprise de sécurité informatique Hacken – la base de données comportait plus de 2,8 millions d’entrées. Un nombre qui paraît très élevé pour une entreprise qui revendique sur son site Internet avoir « mis en poste plus de 7 500 personnes ». Selon Alexandre Pham, seuls 40 000 profils ont été concernés par le défaut de sécurité, sur les 400 000 dont dispose la société.

La durée pendant laquelle cette base de données est restée accessible au tout-venant est difficile à déterminer. Le chercheur l’a découverte le 21 décembre et a eu beaucoup de mal à joindre l’entreprise, congés de Noël et barrière de la langue obligent. Il n’a réussi à le faire, par l’intermédiaire du journaliste spécialisé Damien Bancal, que le 9 janvier. L’entreprise a aussitôt fait disparaître d’Internet cette base de données. En l’état actuel de son enquête, l’entreprise ne sait pas à quel moment ces informations ont été rendues publiques.

Est-ce que ces données ont été récupérées par des acteurs malveillants ? Là encore, c’est le flou. A été retrouvée dans le serveur une note habituellement laissée par des hackeurs dont la spécialité est de rechercher des bases de données ouvertes, d’en supprimer toutes les données et d’exiger une rançon pour les restaurer. Selon M. Diachenko, la présence de cette note atteste que des pirates ont pénétré dans la base de données, mais qu’ils ont échoué à la vider. « C’est la preuve que quelqu’un d’autre que moi a accédé aux données, et les ont peut-être copiées », avance cependant le chercheur. De son côté, l’entreprise affirme, outre cette note, avoir détecté un téléchargement partiel de la base de données, qu’elle n’exclut pas être le fait de M. Diachenko ou des autorités françaises à des fins de tests. Ces dernières ont en effet été contactées par M. Diachenko lorsqu’il tentait de joindre les responsables de Mistertemp.

Selon l’entreprise, pas de donnée bancaire ou document d’identité

Selon l’entreprise, aucune donnée bancaire ni aucun document d’identité n’ont été exposés, ces derniers étant stockés dans une base de données différente. Cependant, M. Diachenko dit avoir repéré dans la base de données exposées des liens menant vers les CV des candidats. Ces liens, dotés de l’équivalent d’une date de péremption, avaient expiré au moment où ils ont été testés par le chercheur et ne menaient plus nulle part. Mais ils ont été fonctionnels pendant une période indéterminée, rendant donc accessibles au même titre que la base de données les documents et informations qu’ils abritaient.

Alexandre Pham dit avoir « immédiatement » averti la Commission nationale de l’informatique et des libertés (CNIL), comme le lui impose la loi. Il explique aussi que les utilisateurs dont les données personnelles ont été divulguées vont être avertis. Il s’agit-là encore de l’une des nouvelles obligations qui incombent aux entreprises victimes de faille de sécurité depuis l’entrée en vigueur l’année dernière du RGPD, le nouveau cadre européen de protection des données. D’autre part, ce cadre légal prévoit des sanctions importantes s’il est avéré que l’entreprise n’a pas pris des mesures suffisantes pour protéger ses données.