Une base de données laissée en accès libre a exposé jusqu’à un milliard d’enregistrements liés à des vérifications d’identité utilisées par des services financiers et numériques dans le monde entier.
En novembre dernier, les chercheurs de Cybernews ont découvert une instance MongoDB ouverte contenant près d’un téraoctet de données personnelles liées à des procédures de KYC (know your customer), c’est-à-dire des processus de vérification d’identité exigés lors de l’ouverture d’un compte bancaire, de l’inscription à un service financier ou de la création d’un espace utilisateur sur certaines plateformes en ligne. Selon l’analyse publiée, jusqu’à un milliard d’enregistrements exploitables pourraient être concernés, répartis dans plusieurs régions du monde, de l’Amérique du Nord à l’Europe en passant par l’Asie, auxquels s’ajoutent plusieurs milliards d’entrées techniques ou de journaux internes. La base a été signalée aux équipes concernées puis sécurisée rapidement, sans qu’il soit possible de déterminer si des tiers ont pu en copier le contenu durant sa période d’exposition.
Un ensemble massif de données d’identification agrégées par un même service
Dans le détail, l’instance regroupait plusieurs bases de données organisées par pays et rassemblait des informations d’identification particulièrement sensibles, avec un niveau de précision variable selon les régions.
Noms, adresses, dates de naissance, numéros d’identification nationale, coordonnées téléphoniques et électroniques apparaissaient dans de nombreux enregistrements, parfois accompagnés de métadonnées liées aux usages télécoms ou d’annotations destinées à l’analyse antifraude.
L’ensemble toucherait des millions d’individus résidant dans 26 pays, les volumes les plus importants concernant les États-Unis, avec environ 204 millions d’enregistrements, mais aussi le Mexique, les Philippines et plusieurs pays européens, dont l’Allemagne (60 millions), l’Italie (53 millions) et la France (52 millions). Évidemment, ces chiffres ne correspondent pas nécessairement à autant de personnes distinctes, un même individu pouvant apparaître à plusieurs reprises dans ce type de base, mais ils donnent la mesure de l’ampleur de l’exposition.
Les chercheurs attribuent cette infrastructure à IDMerit, un fournisseur de solutions de vérification d’identité numérique reposant sur des outils d’analyse automatisée, en partie fondés sur l’intelligence artificielle, pour examiner des documents officiels et valider en temps réel les informations déclarées par les utilisateurs. Ses solutions sont intégrées par des banques, des acteurs du paiement ou des plateformes fintech afin d’externaliser les contrôles réglementaires lors de la création d’un compte ou de l’accès à leurs plateformes. L’exposition ne résulterait pas d’une intrusion, mais d’une mauvaise configuration, scénario désormais courant pour des infrastructures centralisant des données issues de multiples services.
Des contrôles d’identité toujours plus nombreux, et toujours plus concentrés
Alertée par Cybernews le 11 novembre, IDMerit aurait rapidement sécurisé l’accès à l’instance MongoDB exposée. Aucune exploitation malveillante n’a été confirmée, sans qu’il soit pour autant possible d’exclure qu’une copie ait été réalisée durant la période d’exposition, ces bases ouvertes pouvant être aspirées automatiquement en quelques heures.
Les chercheurs mettent néanmoins en garde contre les conséquences possibles d’une exposition de cette nature, qui peut faciliter des prises de contrôle de comptes, des opérations de phishing ciblé, des fraudes financières ou des détournements de ligne mobile. Conçus pour vérifier une identité rapidement, ces ensembles regroupent des informations cohérentes, normalisées et déjà recoupées, ce qui dispense d’éventuels cybercriminels d’une grande partie du travail de reconstitution habituellement nécessaire après une fuite plus fragmentaire, et rend donc ces informations directement exploitables à des fins frauduleuses.
Le sujet apparaît d’autant plus sensible que l’incident intervient dans un contexte d’extension continue des systèmes de vérification d’identité. L’accès à certains services, la prévention de la fraude ou l’encadrement de publics mineurs reposent de plus en plus sur ces dispositifs, souvent opérés par un nombre restreint d’intermédiaires techniques. Et forcément, à mesure que ces contrôles se généralisent, les volumes de données centralisées augmentent, tout comme l’impact potentiel d’une erreur de configuration.
Source : Cybernews
