Une mauvaise configuration dans une application développée pour le jour des élections par le Likoud pourrait avoir potentiellement exposé et compromis les détails personnels de près de 6,5 millions de citoyens israéliens. La fuite a été découverte et détaillée par Ran Bar-Zik, développeur pour Verizon Media. Il n’est pas clair si le serveur et les données exposés ont été récoltés par des parties non autorisées avant la découverte et la divulgation publique de Ran Bar-Zik.  Les médias israéliens comme Haaretz, Calcalist et Ynet ont confirmé les conclusions de Ran Bar-Zik.

Comment la fuite a été découverte

Selon Ran Bar-Zik, la fuite a été découverte lors d’un audit de sécurité d’Elector, une application développée par Elector Software pour le parti Likoud. Il a expliqué qu’il avait examiné l’application après que les médias locaux aient fait état de plusieurs problèmes liés à la vie privée au cours des dernières semaines, tels que des problèmes avec l’application permettant à des utilisateurs d’enregistrer d’autres utilisateurs pour des informations diffusées par SMS sans leur consentement.
Selon les médias israéliens, le Likoud a souhaité que l’application permette aux partisans politiques de s’inscrire pour recevoir des nouvelles et des mises à jour lors des prochaines élections législatives israéliennes, qui se tiendront le 2 mars prochain. L’application a été mise à disposition sur le site web elector.co.il. Dans un article paru sur un blog, Ran Bar-Zik a déclaré que ce site web contenait plus d’informations qu’il ne le devrait. Le développeur a déclaré que le code source du site comprenait un lien vers un point de terminaison de l’API qui était censé être utilisé pour authentifier les administrateurs du site. Sauf que les développeurs du site web auraient laissé ce point d’accès à l’API exposé en ligne……sans mot de passe ! Du coup, l’API a permi à n’importe qui de l’interroger sans restriction. L’envoi de requêtes au point de terminaison de l’API renvoyait des informations sur les administrateurs du site, notamment des mots de passe en clair.

Ce que contenait la base de données

Cette faille donnait accès à une base de données contenant les données personnelles de près de 6,4 millions de citoyens israéliens ayant le droit de voter lors des prochaines élections, a déclaré Ran Bar-Zik. Les médias locaux ont affirmé que la base de données était une copie officielle de la base de données des listes électorales israéliennes, que chaque parti politique reçoit avant une élection afin de préparer la campagne. Selon Haaretz, pour chaque entrée dans cette base de données, il y avait des informations telles que le nom complet, le numéro de téléphone, le numéro de carte d’identité, l’adresse, le sexe, l’âge et les préférences politiques. Au moment de la rédaction du présent document, le site web officiel de l’application électorale a été retiré du cache des moteurs de recherche tels que Google et Bing, afin d’empêcher tout accès ultérieur au code source du site et à l’API. Dans son blog, Ran Bar-Zik a déclaré que les développeurs de l’application avaient commis une erreur en laissant un point de terminaison de l’API exposé sans mot de passe, puis avaient commis de nouveau une erreur parce qu’ils n’avaient pas sécurisé les comptes d’administration avec un mécanisme d’authentification.

Source ZDNet

Partager :