L’autorité de certification Let’s Encrypt victime d’une fuite de données

Let’s Encrypt a reconnu dans un message posté sur son site avoir été victime d’une fuite de données. Potentiellement les adresses email d’utilisateurs du service ont été révélées à d’autres utilisateurs suite à un bug de leurs outils de messagerie. « À compter du 11 juin, nous avons commencé à envoyer une campagne d’email à tous nos abonnés afin de les informer d’une mise à jour de nos conditions d’utilisation. Nous avons pour cela utilisé un système automatique qui contenait un bug ayant par erreur ajouté entre 0 et 7618 adresses emails appartenant aux destinataires de cette campagne directement dans le corps du message » explique Josh Aas, directeur de l’Internet Security Research Group, la société chargée de l’initiative Let’s Encrypt.

La fuite de donnée est mineure : celle-ci ne concerne que les adresses électroniques des utilisateurs et une part infime de la base de données complète de Let’s Encrypt. « Le problème a été repéré et la campagne de mail a été stoppée après l’envoi de 7 618 sur les 383 000 emails prévus par la campagne » précise le directeur, qui ajoute que chaque email contenait l’ensemble des adresses appartenant aux destinataires ayant déjà reçu le courriel. Une bonne chose que les opérateurs de la campagne aient découvert le bug avant la fin de celle-ci, sinon le dernier destinataire aurait pu revendre à bas prix une solide base de données contenant environ 400000 adresses valides.

Bug logiciel et transparence

Si tout le monde a déjà été confronté à une erreur de champs CC/Cci (Copie carbone, Copie carbone invisible) d’un mail, le problème est en apparence très similaire. Mais Let’s Encrypt laisse entendre qu’il ne s’agit pas ici d’une erreur humaine, mais bien d’un bug du logiciel, sans pour autant donner le nom de l’outil utilisé. Le message posté par Josh Aas précise néanmoins que l’organisme reviendra sous peu avec un « post mortem » et une analyse de la fuite de donnée plus poussée, afin de déterminer les mesures à prendre pour éviter qu’un tel incident se reproduise. Peu de dégâts au final, mais Let’s Encrypt semble vouloir faire preuve de la plus grande transparence à l’égard de ses utilisateurs et de leurs données personnelles.

Let’s Encrypt est une nouvelle autorité de certification lancée en 2015. Soutenue par de nombreux acteurs tels que l’EFF ou Mozilla, elle propose des certificats gratuits pour les utilisateurs qui souhaitent notamment mettre en place une couche de chiffrement sur leur site via TLS/SSL. Let’s Encrypt entend également automatiser et simplifier l’acquisition de certificats pour les administrateurs de site Web. 

Go to Source