Une faille de sécurité critique dans le système britannique Companies House a exposé les données personnelles des administrateurs de plus de 5 millions d’entreprises enregistrées. La violation, révélée vendredi dernier, a permis un accès non autorisé à des informations sensibles, notamment les dates de naissance et les adresses résidentielles.
La nature de la faille
La faille résidait dans le système WebFiling de Companies House, la plate-forme utilisée pour les enregistrements et les mises à jour officiels des entreprises. Un simple exploit – revenir quatre fois en arrière dans le système tout en étant connecté – a permis aux utilisateurs de visualiser et même de modifier les détails d’autres sociétés, y compris les coordonnées des directeurs.
John Hewitt, chercheur chez Ghost Mail, a d’abord identifié la vulnérabilité et l’a signalée à Companies House. Le problème remonte à une mise à jour mise en œuvre en octobre de l’année dernière.
Impact et réponse
Companies House a rapidement suspendu le service WebFiling après la découverte de la faille et l’a restauré lundi après avoir mis en œuvre un correctif. L’agence exhorte désormais toutes les sociétés enregistrées à vérifier leurs coordonnées, en s’assurant qu’aucune modification non autorisée n’a été apportée.
Le PDG Andy King a souligné que même si la vulnérabilité existait, il n’existe actuellement aucune preuve confirmée d’une utilisation abusive des données. Cependant, une enquête est en cours, avec le soutien du Bureau du commissaire à l’information (ICO) et du Centre national de cybersécurité (NCSC).
Pourquoi c’est important
Cet incident met en évidence le risque persistant de violations de données au sein des systèmes gérés par le gouvernement. Les informations exposées pourraient être exploitées à des fins d’usurpation d’identité, d’escroqueries par phishing ou de harcèlement ciblant les dirigeants de l’entreprise. La facilité avec laquelle la faille a été déclenchée souligne la nécessité de tests de sécurité rigoureux et de mises à jour proactives dans les infrastructures critiques.
“La divulgation de telles données personnelles soulève d’importantes inquiétudes quant à la protection des chefs d’entreprise et à l’intégrité du registre des sociétés du Royaume-Uni”, a commenté un analyste en cybersécurité proche du dossier.
Companies House a pris des mesures pour contenir la violation, mais l’incident nous rappelle brutalement que même les systèmes essentiels peuvent être vulnérables à l’exploitation.
