Dans un communiqué, Le Figaro indique avoir corrigé une faille qui a eu pour conséquence d'exposer des données relatives à la navigation des lecteurs sur son site. Selon le quotidien, qui précise avoir signalé l'incident à la Cnil, il s'agit " d'informations parcellaires, très peu exploitables. "

Le Figaro reconnaît une erreur pendant une opération de maintenance et avec la migration d'un serveur de logs (journaux d'événements sur l'activité du site). " Lors de l'installation de ce nouveau serveur, une erreur a été commise dans le paramétrage de la sécurisation des accès au serveur. "

La migration s'est terminée le 8 avril. À partir de cette date et jusqu'au 28 avril 2020, certaines données ont été exposées, mais Le Figaro assure qu'aucune fuite de données n'a été constatée à ce stade. Autrement dit, pas d'accès malveillant constaté. Les abonnés inscrits concernés vont être contactés.

Selon SafetyDetectives, c'est une base de données de 8 To et avec près de 7,4 milliards d'enregistrements qui a été laissée en libre accès sur un serveur Elasticsearch. Des fichiers contenaient des données personnelles : noms, adresses email et postales, pays, adresses IP, tokens pour l'accès à des serveurs internes.

SafetyDetectives évoque également des mots de passe en clair avec les connexions de nouveaux abonnés et des hash MD5 (un algorithme de hachage obsolète) pour les connexions d'abonnés déjà existants.

safetydetectives-le-figaro-fuite-base-donnees
D'après les chercheurs en sécurité, les logs contenaient des données personnelles d'au moins 42 000 nouveaux utilisateurs inscrits sur Le Figaro entre février et avril 2020. La base de données a été construite en mars 2019.

À la teneur du rapport de SafetyDetectives (qui avait prévenu Le Figaro), les informations ne semblent pas si parcellaires que cela. " La base de données a été complètement exposée au public, sans qu'aucun mot de passe ne soit nécessaire pour y accéder. Toute personne connaissant l'adresse IP de la base de données aurait pu y avoir accès. "