Un site de conseils RGPD exposait ses données sur Internet

Un site Web qui donne des conseils sur la conformité au règlement général de la protection de données (RGPD) a résolu un problème de sécurité qui exposait les paramètres de la base de données MySQL – y compris les mots de passe – à n’importe qui sur Internet.

Le site Web, GDPR.EU, est un site de conseil pour les organisations qui veulent se conformer aux lois du RGPD imposées par l’Union Européenne en 2018. Le site Web appartient Proton Technologies AG, la société derrière le service de messagerie chiffré de bout en bout ProtonMail. Bien qu’il ne s’agisse pas d’un site officiel de la Commission européenne, il est en partie cofinancé par le programme Horizon 2020, un programme de recherche et d’innovation de l’Union Européenne.

Le règlement général sur la protection des données (RGPD, ou encore GDPR, de l’anglais General Data Protection Regulation), est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne.

Le problème de ce site de conseils RGPD a été résolu rapidement

Le problème a été “facilement trouvé, rapidement résolu”, ont déclaré Vangelis Stykas et Joe Durbin, chercheurs de Pen Test Partners, dans un article publié la semaine dernière. “Cependant, on ne peut s’empêcher d’y voir une certaine ironie quand un site Web sur le RGPD et financé par l’Union Européenne a des problèmes de sécurité.”

rgpd

Stykas et Durbin ont déclaré que le problème du site de conseils RGPD était causé par le fait que le dossier .git du site Web était lisible par quiconque en ligne. Il s’agit d’un problème connu dû au manque de configuration appropriée et qui existe depuis des années.

De nombreux développeurs Web utilisent l’outil de développement open-source Git pour créer leurs pages, il suit toutes les modifications apportées aux fichiers dans le projet. L’outil crée cet historique au fil du temps dans le dossier du répertoire d’informations .git standard. Cependant, si le dossier .git n’est pas correctement sécurisé, le fichier est lisible dans le monde entier sur Internet (et même parfois indexé par Google). L’accès au dossier .git peut exposer le code source, les clés d’accès au serveur, les mots de passe de base de données, les fichiers hébergés, les sels de chiffrement et plus encore.

rgpd

Les chercheurs ont pu découvrir le dossier ouvert .git sur GDPR.EU à l’aide d’un simple plug-in de navigateur nommé DotGit. Ce plugin vérifie si .git est exposé sur un site Web donné. Après une enquête plus approfondie, les chercheurs ont pu consulter diverses pages WordPress associées au site Web – y compris wp-config, un fichier WordPress de base qui contient les informations nécessaires au fonctionnement du site Web WordPress. Dans ce fichier, les chercheurs ont pu accéder aux paramètres de gestion de base de données MySQL – tels que le nom, l’hôte (généralement localhost), le nom d’utilisateur et le mot de passe.

“Il s’agit d’un système interne, il ne serait donc pas facile de le compromettre depuis l’extérieur à moins que le mot de passe ne soit réutilisé ailleurs, mais il pourrait y avoir d’autres voies”, ont expliqué les chercheurs. «Par exemple, les “clés et sels uniques d’authentification” sont préoccupants, car ils ont été utilisés dans le passé pour falsifier des cookies administratifs, ils pourraient potentiellement être utilisés pour endommager ou compromettre le site.»

Les chercheurs ont déclaré que Proton Technologies a répondu «assez rapidement» et corrigé la vulnérabilité du site RGPD 4 jours après son signalement.

Comment éviter d’être concerné par ce problème?

Les chercheurs invitent les administrateurs de sites Web à supprimer le répertoire Git de leurs sites pour améliorer la sécurité.

“Il est fortement recommandé de supprimer le répertoire /.git/ de tous les sites publiés afin d’éviter d’exposer des données sensibles”, ont déclaré les chercheurs. “S’il s’avère que votre site dispose de ce dossier, le contenu doit être examiné et tout mot de passe contenu dans les fichiers accessibles doit être modifié car il doit être considéré comme étant compromis.”

Les répertoires .git ouverts sont un problème courant – une analyse de plus de 230 millions de domaines Web dans le monde en 2018 a révélé que 390 000 pages Web étaient concernées par ce problème.

Si cet article vous a plu, jetez un œil à notre article précédent.