Un pirate est parvenu à exploiter une vulnérabilité de sécurité sur le site gouvernemental JeVeuxAider.gouv.fr dédié au bénévolat. Les données personnelles de plus de 550 000 utilisateurs seraient compromises.
Dans le tourbillon incessant des fuites de données, on retrouve aussi des plateformes gouvernementales dont les défenses ont été percées. Cette fois-ci, c’est le site JeVeuxAider.gouv.fr qui a été ciblé par une cyberattaque d’ampleur. “Une vulnérabilité de sécurité ayant affecté la plateforme JeVeuxAider.gouv.fr a été exploitée par un acteur malveillant, conduisant à l’extraction de données personnelles d’utilisateurs”, confirme le ministère des Sports, de la jeunesse et de la vie associative.
JeVeuxAider.gouv.fr est une plateforme de mise en relation d’associations et de candidats à des missions de bénévolat. Après avoir exploité une vulnérabilité de type IDOR (Insecure Direct Object Reference), le cybercriminel “misere” a publié des échantillons de la base de données dérobée sur le dark web, selon le site spécialisé French Breaches qui a donné l’alerte.
Piratage de JeVeuxAider.gouv.fr : les utilisateurs appelés à redoubler de vigilance face aux risques d’arnaques
Le communiqué du ministère précise qu’“environ 550 000 comptes sont concernés par une extraction de données en lecture seule”. Aucun mot de passe n’aurait été compromis. La plateforme précise en outre qu’elle ne stocke ni données bancaires ni pièces d’identité. Dans les 16,2 Go de données interceptées, on retrouverait tout de même une quantité conséquente d’informations sensibles liées aux utilisateurs, bénévoles, responsables de mission et organisations :
- Nom, prénom
- Numéro de téléphone
- Adresses e-mail
- Adresse postale
- Date de naissance
- Informations de localisation
- Historiques d’engagement
- Données de bénévolat
- Informations sur les responsables associatifs
- Informations sur les missions de bénévolat
- Informations organisationnelles internes
Ces données pourraient être exploitées dans le cadre de campagnes de phishing ciblées, d’usurpations d’identité, d’arnaques menées au nom d’associations, mais aussi d’opérations d’ingénierie sociale, de collecte de renseignements ou de démarchage abusif. Les utilisateurs concernés par la fuite seront contactés individuellement.
Ils doivent redoubler de vigilance face à d’éventuelles tentatives de fraude. Il faudra notamment se méfier des courriels, SMS ou appels susceptibles d’usurper l’identité de JeVeuxAider.gouv.fr ou de l’un de ses partenaires associatifs. “Les investigations se poursuivent afin de déterminer avec précision les circonstances de l’incident”, précise le ministère qui assure que la sécurité a été renforcée et que le site est désormais “pleinement opérationnel”.
