Certaines organisations ont pour vocation d'être exclusives. Elles fonctionnent sur invitation uniquement et font preuve de discrétion ; c'est le genre d'endroit où l'annuaire des membres constitue le produit en soi.
« Dialog », le réseau exclusif fondé par Peter Thiel, investisseur milliardaire et PayPal , qui compte parmi ses membres un commandant de l'OTAN en exercice, deux sénateurs américains et le secrétaire au Trésor américain, en fait partie.
La semaine dernière, les informations concernant des centaines de ces membres étaient accessibles en clair sur le site de distribution de son application, à la vue de quiconque savait faire un clic droit. C'est alors que Dialog a déclaré avoir été victime d'un piratage.
Une page d'inscription qui menait directement aux dossiers des membres
Ce site a été créé pour diffuser une application mobile destinée à faciliter l'organisation d'un prochain rassemblement du réseau, qui organise des événements haut de gamme. Tout visiteur pouvait s'inscrire en utilisant n'importe quelle adresse e-mail. Aucun mot de passe n'était demandé.
Après avoir envoyé un e-mail, le visiteur se retrouvait sur une page d'attente presque vide qui, selon certaines informations, chargeait directement dans son navigateur des fichiers internes concernant environ 200 personnalités de premier plan. Ces fichiers étaient visibles à l'aide d'« outils intégrés à tous les principaux navigateurs », ce qui semble faire référence aux outils de développement intégrés au navigateur.
Ces fichiers n’étaient pas succincts. Le chargement des formulaires de questionnaire a permis de récupérer les dates de naissance, les contacts d’urgence, les numéros de portable, les orientations politiques attribuées par Dialog à ses membres, les classements internes et les notes d’évaluation, ainsi que les clés numériques servant d’identifiants de connexion aux membres. Pour la quasi-totalité d’entre eux, les données exposées étaient exhaustives, allant des coordonnées privées aux jetons de connexion actifs.
Parmi les informations figurant dans ces documents figuraient également un responsable actuel des services de renseignement de la Maison Blanche, un général à la retraite ayant occupé un poste de haut niveau au sein des services de renseignement américains, ainsi que les responsables de la politique de sécurité nationale de deux grandes entreprises spécialisées dans l’IA. Dialog attribue également en privé des notes aux participants, en tenant compte de leur fortune et de leur notoriété dans les décisions relatives à l’admission, à l’attribution des places et à la tarification. Ces notes faisaient partie des informations contenues dans le code HTML accessible au public.
Dialog sur la défensive
Le directeur général de Dialog a qualifié cet accès de « piratage »
« perpétré par un criminel notoire recherché aux États-Unis. »
WIRED, qui a révélé l'affaire, n'a trouvé aucune preuve indiquant qu'une intrusion ait été nécessaire. En réalité, il semble qu'il ait suffi de cliquer sur un lien figurant sur une page web.
Ces formulaires ont été créés à l'aide de Fillout, un outil de création de formulaires en ligne très répandu. Les données ont été stockées dans Airtable, une plateforme de base de données dans le cloud largement utilisée. Fillout a déclaré n'avoir connaissance d'aucune intrusion dans ses propres systèmes et a précisé que la configuration des formulaires, des sources de données connectées et des flux de travail relevait de la responsabilité des clients.
Dialog n'a pas précisé à quelle date la page mal configurée avait été mise en ligne pour la première fois, ce qui signifie que les données des membres auraient pu être librement accessibles pendant une durée indéterminée avant que le problème ne soit découvert.
Les erreurs de configuration en matière de sécurité occupent désormais la deuxième place du classement OWASP Top 10 pour 2025, qui répertorie les principaux risques liés à la sécurité des applications. Elles ont gagné quatre places par rapport à 2021, où elles occupaient la cinquième place. Cette catégorie représente plus de 719 000 failles de sécurité répertoriées.
La solution est également simple : créez des systèmes dotés uniquement des fonctionnalités dont vous avez besoin, et configurez-les de manière sécurisée.
Ce que cela signifie pour nous tous
La manière dont les organisations décrivent les incidents a des implications qui vont bien au-delà d'une simple violation de données. Si le simple fait d'accéder à des informations accessibles au public est systématiquement qualifié de « piratage », les chercheurs en sécurité pourraient se montrer plus réticents à enquêter et à signaler de manière responsable les systèmes exposés, ce qui prolongerait la période pendant laquelle les erreurs de configuration resteraient non détectées.
Pour les utilisateurs finaux, cette leçon est bien plus ancienne qu’Internet. Si une organisation recueille votre date de naissance, vos contacts en cas d’urgence et une note confidentielle indiquant votre valeur à ses yeux, demandez-lui où sont stockées ces données. Toute réponse faisant référence à « notre site web » mérite une deuxième question, et toute réponse se limitant à « nous prenons votre sécurité très au sérieux » mérite d’être approfondie.
