Un pirate éthique a pu acheter des noms de domaine expirés aux services de police et au CPAS, entre autres, pour seulement huit euros chacun. Ainsi, il a pu accéder sans problème aux informations confidentielles des citoyens.
Selon un article de Gazet van Antwerpen, le pirate éthique Inti De Ceukelaire a pu, pour quelques euros seulement, accéder aux informations confidentielles des citoyens. En utilisant des noms de domaine expirés, il a pu facilement accéder aux adresses e-mail et aux données personnelles des citoyens. Le pirate éthique lui-même qualifie ce problème d’une « ampleur inédite » et recommande aux entreprises de prolonger leurs noms de domaine d’au moins 10 ans et d’appliquer la vérification en deux étapes aux comptes professionnels.
Nom de domaine expiré
Depuis longtemps, la sécurité de nos données personnelles est contestée. Inti De Ceukelaire est un pirate éthique et a déjà mené plusieurs recherches pour tester la sécurité de ces données, souvent avec des résultats décevants. Pour cette expérience, il a pu acheter les anciens noms de domaine de 44 CPAS, 32 zones de police, 12 CAW (Centre de travail social général), 12 CLB (Centre psycho-médico-social), 4 hôpitaux et 3 institutions juridiques pour seulement huit euros chacun.
« On ne peut jamais être propriétaire absolu d’un nom de domaine », explique De Ceukelaire à Gazet van Antwerpen. « Les propriétaires de sites web doivent le louer pour un certain nombre d’années à un registraires de domaine. Si on veut le maintenir, il faut renouveler le contrat. Mais ces dernières années, de nombreux noms de domaine ont expiré parce que les institutions ont créé de nouveaux sites web. Résultat : tous ces noms de domaine ont été remis en vente », a expliqué De Ceukelaire.
Informations confidentielles
Ainsi, De Ceukelaire a pu accéder à des e-mails en toute discrétion et usurper les anciennes identités de 107 institutions sociales. De plus, 848 adresses e-mail professionnelles, qui circulaient encore sur la Toile, étaient liées à ces domaines.
« J’ai ouvert ces adresses pendant une semaine et très vite, il est apparu que des personnes continuaient à leur envoyer des e-mails », explique De Ceukelaire. Il a reçu des centaines d’e-mails liés à des réclamations, à des dossiers administratifs ou à des rappels de paiement. Et comme si tout cela n’était pas assez inquiétant, il a aussi découvert qu’il avait accès à plusieurs comptes cloud où étaient stockées encore plus de données personnelles.
Perturbant
Pour respecter le secret de la correspondance, De Ceukelaire a choisi de ne pas regarder les données, mais les personnes malintentionnées peuvent utiliser ces informations à leur guise. Par exemple, elles peuvent facilement se faire passer pour un représentant d’une certaine institution et pousser les gens à exécuter certaines actions.
De Ceukelaire conseille vivement aux entreprises de prolonger leur nom de domaine d’au moins 10 ans, même s’il n’est plus utilisé. « Je pense que la véritable solution consiste à généraliser la vérification en deux étapes pour les comptes professionnels », dit De Ceukelaire. Ce système nécessite encore un code par SMS pour se connecter à un compte.