Une liste contenant le registre de 154 millions d'électeurs américains est en libre accès
Depuis une base de données du service cloud de Google
Le 2016-06-25 15:28:45, par Miary, Expert éminent
À l’approche de l’élection présidentielle américaine, une faille de sécurité a permis d’accéder à une liste électorale contenant les profils de 154 millions d’électeurs. Ce serait Chris Vickery, un chercheur en sécurité au sein du cabinet de cybersécurité MacKeeper, qui aurait découvert cette fuite de données.
La base de données utiliserait une instance CouchDB. Il s’agit d’un système de gestion de bases de données orienté documents, développé par Apache. Le registre électoral serait localisé à l’adresse IP 104.154.48.169, sur le port 5984. Étant associé à l’adresse 169.48.154.104.bc.googleusercontent.com, Vickery a conclu que la base de données est hébergée sur le service cloud de Google.
Chaque enregistrement contient un champ d’identification se présentant comme suit : LAL+ [Abréviation de l’État où se trouve l’électeur] + [Numéro d’enregistrement]. Par ailleurs, il présente de nombreuses informations personnelles : adresse (ville, État, code postal), âge, appartenance ethnique, revenu, prénom, nom de famille, sexe, numéro de téléphone, etc. On pouvait aussi savoir si l’individu possédait une arme à feu, s’il avait des enfants et combien de fois il avait voté.
Après investigation, il s'est avéré que c’est une base de données collectée par le courtier en données L2. Pour information, l’activité d’un courtier en données est de recueillir des renseignements personnels pour ensuite les vendre à des fins de marketing, notamment pour les publicités ciblées. Après avoir été informée sur la présence d’une faille dans ses bases de données, la société L2 a pu rapidement identifier le propriétaire du registre qui aurait affirmé avoir été victime d’un hacker. Selon L2, il s’agirait d’une ancienne copie du fichier national.
Il faut noter que ce n’est pas la première fois qu’une fuite des données du registre électoral américain a été découverte à l'approche des élections. Cette fois-ci, elle concernerait le registre de 154 millions d’électeurs. Ces derniers temps, on remarque une recrudescence des fuites de données qui touchent tous les secteurs, notamment les réseaux sociaux et les réseaux bancaires.
Source : The Daily Dot
Et vous ?
La base de données utiliserait une instance CouchDB. Il s’agit d’un système de gestion de bases de données orienté documents, développé par Apache. Le registre électoral serait localisé à l’adresse IP 104.154.48.169, sur le port 5984. Étant associé à l’adresse 169.48.154.104.bc.googleusercontent.com, Vickery a conclu que la base de données est hébergée sur le service cloud de Google.
Chaque enregistrement contient un champ d’identification se présentant comme suit : LAL+ [Abréviation de l’État où se trouve l’électeur] + [Numéro d’enregistrement]. Par ailleurs, il présente de nombreuses informations personnelles : adresse (ville, État, code postal), âge, appartenance ethnique, revenu, prénom, nom de famille, sexe, numéro de téléphone, etc. On pouvait aussi savoir si l’individu possédait une arme à feu, s’il avait des enfants et combien de fois il avait voté.
Après investigation, il s'est avéré que c’est une base de données collectée par le courtier en données L2. Pour information, l’activité d’un courtier en données est de recueillir des renseignements personnels pour ensuite les vendre à des fins de marketing, notamment pour les publicités ciblées. Après avoir été informée sur la présence d’une faille dans ses bases de données, la société L2 a pu rapidement identifier le propriétaire du registre qui aurait affirmé avoir été victime d’un hacker. Selon L2, il s’agirait d’une ancienne copie du fichier national.
Il faut noter que ce n’est pas la première fois qu’une fuite des données du registre électoral américain a été découverte à l'approche des élections. Cette fois-ci, elle concernerait le registre de 154 millions d’électeurs. Ces derniers temps, on remarque une recrudescence des fuites de données qui touchent tous les secteurs, notamment les réseaux sociaux et les réseaux bancaires.
Source : The Daily Dot
Et vous ?
-
CafeinomanMembre éprouvéPour ce qui est de la croissance du nombre de piratage, je pense qu'elle suit simplement la croissance de la quantité de données. Et aussi qu'avant, on communiquait moins sur le sujet.
Par contre, vu le contenu du fichier, j'imagine la tête de la CNIL si un fichier comme ca etait trouvé en france...le 26/06/2016 à 12:17 -
AndarusMembre confirméJe ne suis pas expert en sécurité mais multiplier les serveurs, surtout si on n'en sécurise pas l'accès physique comme des radiateurs dans une école, çà ne revient pas à multiplier les vecteurs d'attaque?le 27/06/2016 à 15:49
-
AndarusMembre confirméTu as une idée des "augmentation des coups en maintenance" que ça représenterait?le 27/06/2016 à 11:30
-
RyzenOCInactifOn peut chiffrer les communications et les disques du serveur.Je ne suis pas expert en sécurité mais multiplier les serveurs, surtout si on n'en sécurise pas l'accès physique comme des radiateurs dans une école, çà ne revient pas à multiplier les vecteurs d'attaque?
Ce procédé nécessite de repenser ton architecture, il faut plus penser que tu loue un serveur, mais des serveurs qui soit se répliquent à travers la planètes soit divise ton application en plein de petit morceaux.
J'ai déjà développé un logiciel avec le SGBD Cassandra, ma base de donnée était éparpiller sur 11 serveurs à travers le monde avec répartitions des charges.
L’intérêt c'est que si un pirate à accès à l'un de tes serveurs, il n'aura accès qu'a peu de donnée et au final le pirate n'y voit pas d’intérêt a pirater ton système juste pour sa.
Pirater une plateforme sa prend pas 5 minutes, faut des mois de recherches, donc faut que sa vaille le coup.le 27/06/2016 à 17:19 -
LSMetagExpert confirméCa nous renvoie sur le débat sur le cloud.
C'est un bon outil, valables dans beaucoup de situations, mais ce n'est clairement pas indiqué pour ce genre d'informations critiques !!!! Il y a clairement eu une volonté de faire de grosses économies.
Maintenant on connaît l'adresse de personnes "politiquement gênantes" ! C'est cool pour certains pays étrangers par exemple...
Bon je sais aussi que si je vois L2 défiler dans mon registre de connections ou de bloqueur de pubs/scripts, je bloque. Courtiers en données, c'est pire qu'un contrôleur des impôts à mes yeux.le 26/06/2016 à 13:22 -
RyzenOCInactifOu plutôt sur la centralisation des données et l'universalisation des OS/logiciels/framework utilisé.Ca nous renvoie sur le débat sur le cloud.
Si chacun créait sa propre solution maison, et divisait le tous sur des centaines de petits serveur, les piratent mettrais des mois à essayer de comprendre commence fonctionne ton programme, juste pour récupérer une infirme partie des données. Donc aucun pirates ne le ferais.
la contre partie serait une augmentation des coups en maintenance.le 26/06/2016 à 14:36 -
RyzenOCInactifOui, sa serait beaucoup trop cher ! Donc inapplicable.Tu as une idée des "augmentation des coups en maintenance" que ça représenterait?
Par contre l'idée de décentralisé les données c'est probablement le futur, déjà actuellement à Paris une start up vend des radiateurs à des particulier (c'est encore en phase de test) qui sont en faite des ordinateurs qui au lieu de chauffer un data center qu'il faudra refroidir avec une clim, réchauffe une maison/appartement.
Des entreprises qui ont besoin de serveur peuvent louer ces "radiateurs" héberger chez un particulier. C'est un concept pas encore appliquer dans la vrai vie, mais sa semble prometteur car tous le monde est gagant, le consommateur qui recevra de l'argent pour chauffer sa maison, (donc réduction du coût du chauffage) et l'entreprise qui devrait normalement payer moins cher. Et enfin bien sur c'est plus écologique.
Si un pirate à accès a l'un de ces radiateurs, il n'aura accès qu'a une infirme partie des données.le 27/06/2016 à 11:40 -
ZirakInactifEuh t'es sûr ?
Si tu parles des Q-Rad, moi j'en étais justement resté au fait qu'ils disaient que pour l'instant, ils ne vendaient pas aux particuliers, car cela reviendrait beaucoup trop cher (et ils n'ont pas encore les finances / commandes pour bien baisser les prix), et aussi qu'ils avaient encore un problème de quid l'été ? Les gens vont éteindre les chauffages mais les entreprises auront quand même besoin de la puissance de calcul, donc ils espéraient plutôt mettre ça dans des établissements style écoles ou autres, pour pouvoir chauffer même quand il n'y a personne pendant les congés d'été. (Bon par contre juste avant / après les congés, les gamins vont fondre en classe ^^).
Enfin moi tout ça, ça doit bien dater de l'année dernière, tant mieux pour eux s'ils ont réussi à avancer à ce niveau là.le 27/06/2016 à 13:58 -
ZirakInactifPerso de ce que j'ai compris, ces radiateurs sont plutôt là pour fournir de la puissance de calcul, pas pour stocker des données.
Enfin après ce n'est pas trop mon domaine, mais fais des recherche sur les Q-Rad (j'ai zappé le nom de la boite), cela devrait t'éclairé un peu plus sur ce dont parle sazearte.le 27/06/2016 à 16:52 -
Je complète ton opinion en faisant la remarque que l'Union Européenne est un tronc commun, un peu comme chaque monnaies matériels (billets et pièces) est différentes visuellement dans chaque pays membres de l'Union Européenne. Des troncs commun qui pénalise en se moment, la traçabilité aux douanes par exemple.Par contre, vu le contenu du fichier, j'imagine la tête de la CNIL si un fichier comme ca etait trouvé en france...
P.S.: Je ne fais pas savoir "billets de banque" pour ne pas provoquer un abus de langage en se qui concerne les entreprises. Il y a plus de valeurs numériques que de valeurs monétaires émises par les états et pays ? Pourtant la carte de fidélité d'un grand centre commercial est surement valable dans d'autres pays.le 26/06/2016 à 12:28