Après les «Moustass Leaks», une autre fuite de données confidentielles frappe, cette fois à travers une base de données clients de Mauritius Telecom potentiellement compromise.

Le 8 août, la firme Security Discovery, spécialiste en cybersécurité et présente en Allemagne, en Ukraine et aux États-Unis, révèle une faille : une base de données accessible publiquement sans authentification – contenant des informations sensibles attribuées à des clients de Mauritius Telecom (MT) – hébergée sur un serveur par une société spécialisée dans les applications de gestion d’eSIM et basée en Estonie. Des «données» de clients auraient été exposées publiquement en ligne, comprenant des informations sensibles telles que numéro de carte d’identité/passeport, nom complet, numéro de téléphone et adresse postale.

Si la faille interpelle, la gestion d’une telle quantité de données confidentielles dans une juridiction étrangère soulève des interrogations. Alors que MT affirme – dans son communiqué du 4 septembre – avoir «immédiatement lancé une enquête approfondie», l’opérateur précise dans un deuxième communiqué, le lendemain, que «les vérifications se poursuivent en étroite collaboration avec nos partenaires, avec l’appui d’un expert mondial en cybersécurité». Au 12 septembre, dans un troisième communiqué, MT qualifiait toujours les révélations d’«allégations» mais ajoutait néanmoins avoir «demandé à ses fournisseurs et sous-traitants de procéder à leurs propres vérifications».

■ Extrait de la base de données exposée. Les informations sensibles – ObjectId, numéros de téléphone (msisdn), numéros de carte d’identité nationale, noms et nationalité – ont été occultées pour des raisons de confidentialité et de protection de la vie privée.

Si MT rassure ses clients que «leurs données personnelles demeurent pleinement protégées et confidentielles», l’express a voulu vérifier en explorant les traces publiques de cette base de données et en confrontant les communiqués officiels aux éléments techniques disponibles.

Un total de 589 697 enregistrements est accessible via l’adresse IP 95. ▪️.▪️.▪️. Une analyse préliminaire via Shodan (voir encadré) permet de détecter, entre autres, d’éventuelles vulnérabilités, une géolocalisation approximative et, surtout dans ce cas, le nom de l’hôte. Ce dernier confirme – dans une note relayée – à propos du serveur : «Il aurait pu être accessible à des tiers pendant un certain temps.»

Un premier niveau d’analyse, technique, mené sur un extrait de la base de données, suggère qu’il s’agit principalement de détenteurs d’eSIM et qu’elle contient des entrées en doublon ou incomplètes, ce qui réduit le nombre réel de clients potentiellement affectés. Un second niveau d’analyse, manuel – suivant une méthodologie consistant à confronter la base de données à une vérification réelle en appelant les numéros afin de faire correspondre les noms figurant sur la liste – semble confirmer l’authenticité des informations.

Sur un échantillon de 19 personnes appelées, six confirment positivement les données, cinq ne décrochent pas, cinq numéros sont inaccessibles (téléphone éteint), un interlocuteur ne souhaite pas répondre et deux correspondent à des lignes suspendues, conformément à la mention figurant dans le dataset. Dans les deux niveaux d’analyse, un modus operandi non-intrusif a été privilégié pour l’analyse et la vérification des données accessibles publiquement.

Le directeur du Cyber Threat Intelligence chez Security Discovery, Bob Diachenko, explique que son entreprise identifie les fuites et vulnérabilités en s’appuyant uniquement sur des moteurs de recherche publics comme Shodan, Censys ou BinaryEdge et qu’elle n’analyse qu’en temps réel des données librement accessibles à tous, avant d’appliquer un modèle de responsible disclosure auprès des entreprises concernées afin qu’elles mettent en place les mesures de sécurité nécessaires pour protéger leurs données.

En ce qui concerne les risques pour les clients, cette exposition fait peser des menaces concrètes : usurpation d’identité avec les numéros de carte d’identité nationale, clonage ou échange de SIM grâce aux données techniques, phishing ciblé via les identifiants internes et harcèlement facilité par la combinaison d’adresses postales et de numéros actifs. Au niveau de l’accès à la base de données, elle n’était plus accessible au 1er septembre. Le 4 septembre, elle est de nouveau en ligne – sans mot de passe, donc exposée publiquement – avant d’être finalement sécurisée au 14 septembre. Contactés, ni MT, ni le ministre des TIC, Avinash Ramtohul, étant en Inde, n’ont donné suite à nos appels.

C’est quoi Shodan

Shodan est un moteur de recherche qui interroge les adresses IP publiques pour indexer services et appareils accessibles depuis Internet. Il collecte notamment les «banners» – réponses automatiques (en-tête HTTP, bannière SSH, message d’accueil SMTP, etc.) – qui révèlent souvent le logiciel et sa version. À partir de ces éléments, Shodan recense les ports ouverts, les services actifs, les certificats TLS et la localisation approximative ; et peut corréler ces métadonnées avec des vulnérabilités connues (CVE). Il n’exploite pas les systèmes.