Exposition de données Exactis

En juin 2018, le chercheur en sécurité Vinny Troia a découvert qu'Exactis — une société peu connue d'agrégation et de marketing de données basée à Palm Coast, en Floride — avait laissé une base de données de près de 340 millions d'enregistrements sur un serveur accessible publiquement, sans aucun pare-feu en façade. Il n'y a eu ni piratage ni attaquant : les données étaient simplement exposées à quiconque savait où regarder. En nombre d'enregistrements, ce fut l'une des plus importantes expositions connues de données personnelles américaines, dépassant même la violation d'Equifax.

Ce qui s'est passé

Troia a trouvé la base de données en scannant Internet à la recherche d'instances Elasticsearch exposées à l'aide du moteur de recherche Shodan. Il est tombé sur une base appartenant à Exactis, accessible sur une adresse IP publique avec aucun contrôle d'accès. N'importe qui pouvait l'interroger.

L'exposition représentait environ 2 téraoctets de données et près de 340 millions d'enregistrements — environ 230 millions sur des consommateurs particuliers et 110 millions sur des contacts professionnels. Élément crucial, il ne s'agissait pas seulement de noms et de courriels. Chaque enregistrement contiendrait jusqu'à 400 champs distincts de données de profilage granulaires.

Ce qui a été exposé

Les enregistrements allaient bien au-delà des coordonnées de base. Les champs exposés comprenaient, selon les rapports :

• Noms, adresses physiques et électroniques, et numéros de téléphone.
• Des attributs hautement personnels : le nombre d'enfants dans un foyer ainsi que leur âge et leur sexe, la situation matrimoniale, la religion, l'origine ethnique, et les centres d'intérêt et habitudes personnelles.
• Des signaux financiers et de mode de vie : valeur estimée du logement, détention éventuelle d'actions, type de cartes de crédit détenues, situation de crédit et historique de dons politiques.

Notamment, les données ne semblaient pas inclure de numéros de sécurité sociale ni de numéros de carte de crédit — mais l'ampleur du profilage comportemental et familial les rendait profondément sensibles dans leur ensemble, le genre de dossier utilisé pour le ciblage et potentiellement pour l'ingénierie sociale ou la fraude.

Impact

• Environ 340 millions d'enregistrements exposés, couvrant une part substantielle de la population adulte américaine et des millions d'entreprises.
• Après avoir été averti, Exactis a sécurisé la base de données et l'a mise hors ligne ; aucune confirmation publique n'indique que des acteurs malveillants aient copié les données avant leur verrouillage.
• Des recours collectifs ont été déposés contre Exactis dans les semaines qui ont suivi la divulgation.
• L'incident a intensifié l'examen du secteur des courtiers en données — ces entreprises qui compilent et vendent des profils détaillés de consommateurs, souvent à l'insu et sans le consentement des personnes concernées.

Pourquoi c'est important

Exactis a cristallisé une vérité dérangeante sur l'économie moderne des données : les fuites les plus dommageables n'impliquent pas nécessairement le moindre piratage. Une seule base de données mal configurée et exposée à Internet chez un courtier obscur dont la plupart des consommateurs n'avaient jamais entendu parler a mis à portée de quiconque scannait Internet des détails intimes sur des centaines de millions de personnes. C'est devenu un exemple majeur dans le débat sur la réglementation des courtiers en données et le consentement, ainsi qu'une mise en garde de référence sur la sécurisation des déploiements cloud et Elasticsearch — verrouiller l'accès public, exiger une authentification et ne pas exposer de données personnelles en masse à l'Internet ouvert.