Le service de sécurité contre le vol d’identité de Symantec, LifeLock, aurait accidentellement rendu public des millions d’adresses e-mail de clients en raison d’un problème technique sur leur site Web.
La page de marketing par courriel de LifeLock a été temporairement retirée après que le journaliste spécialisé en sécurité et chercheur Brian Krebs l’ait signalée, ce dernier ayant révélé cette faille sur son blog.
La faille de sécurité a rendu possible pour n’importe qui utilisant un navigateur Web de rassembler des adresses e-mail de clients en modifiant un numéro dans l’URL, qui sert à se désinscrire des communications de LifeLock.
Chaque numéro d’identification est associé à un client enregistré, et modifier ce numéro a conduit à l’affichage d’une adresse e-mail sur la page Web.
Krebs a été informé du problème par un chercheur nommé Nathan Reese, qui a développé un programme permettant d’extraire des courriels du site. Reese a réussi à obtenir 70 courriels avant de stopper l’opération.
C’est une faille de sécurité tentante pour les pirates informatiques qui cherchent à s’attaquer aux clients de LifeLock, une entreprise spécialisée dans la protection des informations personnelles.
Quand Mashable a essayé d’exploiter la faille, celle-ci n’était plus opérationnelle, car la page Web demandait un e-mail pour se désinscrire des communications de LifeLock.
Un représentant de Symantec a indiqué par email que “la problématique ne résidait pas dans une faille de sécurité du portail des membres de LifeLock”.
Le texte indique qu’une question a été rectifiée et circonscrite à la possible divulgation d’adresses électroniques sur une page de promotion gérée par un tiers, dans le but de permettre aux destinataires de se désinscrire des e-mails promotionnels.
D’après notre enquête, en dehors des 70 connexions à l’adresse e-mail mentionnées par le chercheur, il n’y a actuellement aucune preuve d’autres activités douteuses sur la page de désinscription du marketing.
En 2015, LifeLock a versé une somme de 100 millions de dollars pour résoudre les accusations de la Commission fédérale du commerce, liées à la négligence de la sécurisation des informations personnelles des consommateurs et à des allégations de publicités mensongères.
D’après un communiqué de presse datant de 2017, LifeLock a plus de 4,5 millions de clients et a été rachetée par Symantec en 2016 pour 2,3 milliards de dollars.
Mise à jour du 26 juillet 2018 à 15h34 : Une déclaration de Symantec a été ajoutée.
Sujet: Sécurité sur internet
Le reporter de la culture web de Mashable Australia se nomme Johnny Lieu. Vous pouvez le contacter sur Twitter à @Johnny_ ou par email à jlieu [at] mashable.com.
