Le hacker Misere revendique l’extraction d’une importante base de données attribuée à JeVeuxAider.gouv.fr, la plateforme officielle de la Réserve civique opérée par l’État français.
Selon la publication diffusée sur un forum cybercriminel, l’attaque aurait exploité une vulnérabilité de type IDOR (Insecure Direct Object Reference) présente dans une API accessible aux utilisateurs disposant d’un compte sur la plateforme.
Le cybercriminel affirme avoir collecté les données durant plusieurs heures en automatisant les requêtes depuis plusieurs adresses IP et comptes utilisateurs.
La plateforme officielle de l’engagement citoyen
Lancée par l’État français dans le cadre de la Réserve civique, la plateforme JeVeuxAider.gouv.fr permet aux citoyens de participer à des missions d’intérêt général proposées par des associations, collectivités, établissements publics et organismes reconnus d’utilité publique.
Le service a connu une forte croissance ces dernières années, notamment pendant la crise sanitaire, et recense aujourd’hui plusieurs centaines de milliers de bénévoles inscrits partout en France.
Plus d’un million d’enregistrements revendiqués
D’après les chiffres avancés dans la publication, les données récupérées représenteraient :
- 1 248 305 enregistrements ;
- 558 952 personnes uniques ;
- 421 131 adresses e-mail uniques ;
- 16,2 Go de données.
Les informations sembleraient principalement provenir des inscriptions aux missions de bénévolat ainsi que des interactions entre utilisateurs et organismes proposant des missions.
Quelles données semblent concernées ?
Les champs affichés dans la revendication montrent la présence de nombreuses informations liées à l’activité des bénévoles sur la plateforme :
- Identifiants utilisateurs ;
- Identifiants de profil ;
- Identifiants de mission ;
- Dates d’inscription et de mise à jour ;
- Statuts des candidatures ;
- Historique de participation ;
- Informations relatives aux missions réalisées ;
- Données de suivi et de gestion des candidatures.
Le pirate affirme également avoir obtenu plus de 421 000 adresses e-mail uniques, ce qui pourrait permettre d’identifier une grande partie des bénévoles inscrits sur la plateforme.
Des informations sur l’engagement citoyen
Contrairement à une simple fuite d’annuaire, ce type de base pourrait permettre de retracer l’activité bénévole de nombreux utilisateurs. Les missions réalisées, les organismes rejoints ou encore les centres d’intérêt associatifs peuvent parfois révéler des informations personnelles sur les personnes concernées.
Même en l’absence de données financières ou de mots de passe, ces informations peuvent présenter un intérêt important pour des opérations de phishing ciblé ou d’ingénierie sociale.
Une nouvelle revendication visant un service public
Cette publication s’inscrit dans une série de revendications récentes attribuées au même acteur, qui affirme avoir obtenu l’accès à plusieurs bases de données liées à des collectivités, établissements publics et services administratifs français.
Au moment de la publication, aucune communication officielle concernant cette revendication n’avait été identifiée. L’authenticité, l’étendue exacte des données et les circonstances de leur collecte restent à confirmer.