LEBIGDATA.FR I.A, Cloud & Cybersécurité
Un chercheur en sécurité bulgare a été arrêté après avoir révélé l'existence d'une faille de sécurité dans un logiciel utilisé par de nombreuses crèches publiques. Cette vulnérabilité permet d'accéder aux données personnelles de nombreux citoyens bulgares…
Expert en informatique, Petko Petrov a découvert une faille dans le logiciel utilisé par les crèches de la province de Star Zagora, en Bulgarie. En exploitant cette vulnérabilité, il est parvenu à télécharger les données personnelles de 235 543 citoyens de la région qui en compte environ 333 000.
Les données auxquelles il a accédé sont à l'origine stockées dans une base de données nationale gérée par le Department Civil Registration and Administrative Services (GRAO). Cette base de données est l'équivalent de l'identification par numéro de sécurité social en Bulgarie. On y trouve des informations personnelles telles que les noms, adresses, liens de parenté, ou données de passeport de près de 10,5 millions de personnes (dont environ 2 millions sont décédées).
En tentant d'avertir l'éditeur du logiciel et les autorités locales, Petko Petrov a été ignoré malgré la gravité de la situation. Il a donc décidé de révéler la faille au grand jour en postant une vidéo sur Facebook, le 25 juin 2019. On l'y voit lancé une attaque automatisée contre le portail web de la municipalité locale, sur lequel les parents peuvent inscrire leurs enfants à la crèche.
Il récupère ensuite les données de citoyens bulgares en exploitant la vulnérabilité. La vidéo contient également un lien vers un dossier GitHub sur lequel n'importe qui peut télécharger le code pour exploiter la faille.
https://www.facebook.com/HEDWIN/videos/10220069244944719/
Les données des citoyens bulgares sont exposées par une faille
Malheureusement pour l'expert, cette façon radicale de tirer la sonnette d'alarme n'a pas été appréciée par les autorités bulgares. Petrov a été arrêté peu après avoir posté sa vidéo, et a été emprisonné 24 heures avant d'être relâché. Selon l'Article 319A du code pénal bulgare, il encourt toujours jusqu'à 3 ans de prison et 2500 euros d'amende pour avoir obtenu des informations gouvernementales en utilisant une méthode illégale…
Sa démarche aura au moins permis d'inciter les dirigeants de Stara Zagora a cessé d'utiliser le logiciel en question. En revanche, le maire affirme que l'éditeur du logiciel, Services AD, n'a pas encore répondu aux requêtes du gouvernement qui attend qu'il corrige la faille de son logiciel à ses propres frais.
S'il n'intervient pas rapidement, l'éditeur risque de devoir payer une amende RGPD… malheureusement, Petko Petrov révèle que ce logiciel est utilisé dans d'autres provinces bulgares et que les hackers pourraient donc exploiter la faille pour s'emparer des données de citoyens…
- Partager l'article :
