Droite au Coeur : Le dévoilement du premier scandale de sécurité sur Bubble.io
Also available in :
Note : toutes les failles de sécurité évoquées dans cet article ont été résolues et ne sont plus exploitables (vérifié par notre équipe).
Au cours des dernières années, les plateformes de développement No-Code ont connu une augmentation spectaculaire de leur popularité, démocratisant le processus de création d'applications et de sites web. Bubble.io est à la pointe de ce mouvement, reconnu pour son interface utilisateur conviviale et sa large gamme de fonctionnalités.
Cependant, un événement sans précédent a récemment secoué la communauté Bubble.io - une violation significative des données d'une application construite sur la plateforme. Pour la première fois, une application créée par Bubble.io a été publiquement impliquée dans un scandale de confidentialité des données, les informations sensibles des utilisateurs ayant été divulguées en ligne et largement diffusées via Twitter. L'incident a attiré une attention significative, recevant même une couverture sur les chaînes de télévision nationales françaises. Cela marque le premier scandale public majeur lié à la sécurité de Bubble.io et à ses mesures de confidentialité des données.
Dans une communication révélatrice, Stéphane, le PDG de Droite au Coeur, souligne la détresse causée par les circonstances :
"X l'agence qui a développé le site, nous a donné confiance initialement et nous a assuré au sujet de la sécurité [...] Cependant, cela ne s'est pas produit, et le suivi a été déplorable."
Dans cet article, nous allons nous plonger dans les spécificités de la violation, la résolution subséquente, l'attribution des responsabilités, et les implications à long terme de cet événement.
L'incident en détail
Les révélations de Mathis Hammel
Le 29 juillet 2023, Mathis Hammel, un utilisateur de Twitter, a posté un tweet choquant. Il a demandé de façon pointue à l'équipe derrière le site de rencontre, @CoeurDroite, de donner la priorité à la cybersécurité, révélant que leur base de données personnelle était entièrement vulnérable à une violation. Hammel a exposé la vulnérabilité de la plateforme, qui comprenait des détails cruciaux tels que le statut matrimonial, l'orientation sexuelle et les adresses électroniques.
L'application compromise, Droite au Coeur, est un site de rencontre pour les patriotes français, associé à des affiliations politiques d'extrême droite. Cette inclinaison idéologique a probablement fait d'elle une cible attractive.
Hammel a donné des détails sur la nature de la violation dans des tweets ultérieurs, soulignant l'étonnante facilité avec laquelle il a découvert la faille - simplement en appuyant sur F12. Le principal problème était les règles de confidentialité laxistes qui laissaient la base de données de l'application exposée et facilement accessible via les outils de débogage de n'importe quel navigateur pour ceux qui ont des connaissances fondamentales.
Dans la foulée, Hammel et d'autres utilisateurs de Twitter ont humoristiquement contrasté la réalité de cette violation - sa simplicité frappante - avec les complexités imaginées du piratage.
La nature des données exposées
Initialement, la fuite de données semblait comprendre principalement des détails d'utilisateurs destinés à être publiquement accessibles via l'application (comme l'orientation sexuelle, le statut matrimonial). Cependant, compte tenu de la tendance politique du site web, la fuite a potentiellement mis les utilisateurs en danger d'être ciblés pour des raisons idéologiques. Un simple script pourrait faciliter l'exportation de l'ensemble de la base de données, y compris la liste des utilisateurs.
Alors que l'ampleur de la violation devenait claire, il est apparu que d'autres données, non publiques, avaient également été compromises. Cela comprenait les adresses électroniques et, plus inquiétant, les coordonnées géographiques précises et les adresses postales sans aucune dissimulation.
En termes de cybersécurité, nous avons découvert que les utilisateurs fournissaient involontairement leur adresse complète en réponse à une invitation à fournir leur code postal.
Étant donné la nature politique de l'application, les données divulguées mettaient ses utilisateurs à haut risque de harcèlement et d'atteinte à la vie privée. De plus, la violation de données a enfreint plusieurs réglementations, dont les lois européennes sur le RGPD et les lois françaises sur la confidentialité des données, ce qui pourrait entraîner des conséquences juridiques pour l'application.
Conséquences immédiates et impact
Le tweet est rapidement devenu viral, attirant près de six millions de vues - probablement en raison des implications politiques de la violation. Alors que les utilisateurs de Twitter interagissaient avec le tweet original, l'incident a gagné en traction dans les médias technologiques et a finalement attiré l'attention des chaînes de télévision nationales.
Avec la propagation de la nouvelle, l'application a connu une montée de trafic sans précédent et une augmentation des inscriptions de faux profils. L'équipe a été contrainte de fermer temporairement le site pour maintenance et résolution des problèmes, afin de protéger leurs utilisateurs.
La chute a continué, avec un coup significatif porté à la réputation de la plateforme, de nombreux utilisateurs existants ayant choisi de supprimer leurs comptes par crainte pour la sécurité de leurs données personnelles.
Cet incident marque un tournant dans les écosystèmes Bubble et No-Code en général. Premier grand scandale public de sécurité impliquant une application construite avec Bubble, il est susceptible d'influencer de manière significative les futures mesures de cybersécurité au sein de la plateforme Bubble.io.
Responsabilités
Comme pour chaque événement où un risque est impliqué, il est de coutume de trouver quelqu'un à qui imputer la responsabilité. L'application en question a été conçue par une agence Bubblefrançaise, et la question cruciale est maintenant de savoir qui devrait porter la responsabilité de la fuite des données?
Est-ce Droite au Coeur, les créateurs de l'application, ou est-ce l'agence française qui a développé l'application, ou peut-être, Mathis Hammel, le pirate informatique? La réponse à cette question est plutôt complexe.
Évaluation de l'Approche du Hacker
Plusieurs individus, dont des hackers white-hat bien connus, se sont tournés vers Twitter pour questionner l'éthique des méthodes de Mathis Hammel et sa décision de révéler publiquement la fuite.
Le choix d'exposer une telle vulnérabilité publiquement soulève des préoccupations éthiques car il pourrait potentiellement mettre en danger de nombreux utilisateurs et éroder la confiance dans l'entreprise.
En effet, la divulgation publique de telles violations peut avoir un impact non seulement sur la réputation de l'entreprise, mais aussi mettre en danger ses utilisateurs qui ne portent aucune responsabilité pour l'incident. D'un autre côté, cela aide à souligner la possibilité d'une violation de sécurité, sensibilisant les utilisateurs à la vulnérabilité de leurs données.
Nous avons rencontré une problématique similaire lors du lancement de notre Free Privacy Rules Checker pour applications Bubble.
La stratégie optimale lors de la découverte d'une telle vulnérabilité est d'informer les propriétaires de l'application pour corriger le problème. La Commission européenne fournit également des directives pour traiter les fuites de données si les propriétaires de l'application ne répondent pas, que l'on peut trouver ici : Directives de la Commission européenne en matière de violation de données.
Rendre public la fuite est une question de choix personnel, à condition que la violation ait été rectifiée et ne soit plus exploitable.
Cependant, dans cet incident particulier, nous remettons en cause l'approche du hacker puisqu'il a choisi de divulguer les données simplement pour créer un buzz sur Twitter et pour des motivations politiques, sans attendre que les vulnérabilités soient résolues. Cette décision a mis en danger l'ensemble des utilisateurs de Droite au Coeur.
Négligence de l'agence
Il est important de noter que l'application n'a pas été développée en interne mais a été externalisée à une agence française Bubble.io.
Le PDG de Droite au Coeur a exprimé sa frustration face au processus, déclarant : "La structure qui était en charge du développement du site a fait de son mieux, mais le cadre original établi par [le développeur] était catastrophique, illisible et incompréhensible."
L'agence figure parmi les 20 premières agences françaises Bubble, mais nous ne divulguerons pas son nom puisqu'il n'a pas encore été rendu public.
Nos recherches, menées plus tôt cette année concernant la sécurité de l'écosystème, vont dans ce sens. Nous avons constaté que 89% des 100 meilleures applications présentaient au moins une vulnérabilité de sécurité critique. Nous avons également déterminé qu'environ 65% des applications développées par des agences Bubble présentaient des vulnérabilités. (Lire notre rapport 2023 : Un aperçu complet de la sécurité des 100 meilleures applications faites sur Bubble.io)
Ces données soutiennent l'idée que de nombreuses agences sont à la traîne en matière de garantie de la sécurité des applications qu'elles produisent, et cela semble être le premier exemple public.
Facilement, l'agence pourrait être tenue responsable de la négligence et de la violation de la sécurité. Cependant, la réalité est plus complexe.
Comme la plupart des agences, une fois l'application finalisée et lancée, elle est remise aux clients, leur accordant un contrôle total. La majorité des clients des agences manquant d'expertise technique, ils peuvent facilement faire des erreurs ou modifier les paramètres des Privacy Rules, qui ont été la cause de cet incident. Le terme trompeur 'no-code' induit souvent les clients en erreur, les faisant croire qu'ils peuvent effectuer des modifications sans effort après la fin du développement de l'application.
De plus, il peut être assez difficile de retracer les modifications apportées à une application pour identifier qui a modifié un paramètre spécifique.
Les répercussions de l'incident sur la réputation de l'agence restent incertaines, puisque leur nom n'a pas été publiquement associé à l'événement.
"Pour le moment, nous n'avons pas l'intention d'engager des poursuites légales ou des actions en justice contre [l'agence Bubble]," a informé Stéphane, indiquant une réponse axée sur l'avenir de la part de l'entreprise.
Questionnement autour de Bubble.io
Étonnamment, ni le fil Twitter, ni les diffusions télévisées n'ont mentionné que l'application a été développée sur Bubble.io ou en No-code, probablement parce que l'aspect politique l'a éclipsé.
La cible évidente suivante pour le blâme est Bubble lui-même. Comment une telle fuite de données a-t-elle pu se produire sur Bubble?
La réponse à cela n'est pas simple. Bubble.io est une plateforme robuste avec des mesures de sécurité des données rigoureuses. Cependant, son accessibilité et son interface attirent un public qui peut manquer de connaissances approfondies en cybersécurité et de compréhension des réglementations actuelles sur la confidentialité des données, ce qui pourrait potentiellement poser des risques pour les utilisateurs finaux.
Ce problème est encore exacerbé par un manque d'information sur les pratiques de sécurité et une pénurie de rapports publics sur les vulnérabilités précédentes ou connues (cet incident étant le premier).
En fin de compte, Bubble fournit les outils nécessaires pour sécuriser une application, mais la responsabilité incombe aux développeurs (agences et individus) de rechercher, apprendre et mettre en œuvre ces outils pour assurer la sécurité de l'application.
Récemment, des outils de tiers ont émergé pour simplifier le processus de sécurité de votre application Bubble.io. Malgré notre conscience aiguë de la sécurité, l'erreur humaine est toujours une menace potentielle. Des outils comme Flusk Vault (notre offre) ou NcScale aident à identifier et à rectifier les vulnérabilités de sécurité dans votre application Bubble.
Implications pour le futur
Dans ce qui semble être une occurrence sans précédent, cet événement signale le premier d'une série potentiellement longue à venir.
Il est essentiel de contextualiser cet événement sur l'arrière-plan de l'essor fulgurant des outils no-code, spécifiquement Bubble.io. Avec un nombre croissant d'applications développées via Bubble.io, il est inévitable que de plus en plus d'applications contiennent des vulnérabilités de sécurité. Par conséquent, nous devons maintenir un focus incessant sur la confidentialité et la sécurité des données pour préserver la sécurité et la crédibilité de l'écosystème.
En approfondissant le contexte plus large, cet incident sert de rappel puissant des préoccupations de sécurité croissantes entourant les plateformes no-code. À mesure que de plus en plus de novices se lancent dans le développement d'applications grâce à ces plateformes, la probabilité de lacunes de sécurité involontaires augmente, créant un environnement propice aux cybermenaces. Le paysage des hackers devient également plus complexe et dangereux dans l'espace no-code, avec des hackers qualifiés identifiant et exploitant ces vulnérabilités à leur avantage.
Nous avons confirmé que Droite au Coeur a pris les mesures nécessaires pour rectifier les vulnérabilités de sécurité, protégeant ainsi leurs utilisateurs à partir de maintenant. Une question intrigante dans le sillage de tels incidents est de savoir si une entreprise peut récupérer la confiance suite à une telle polémique ?
Le passé fournit un éventail mixte d'exemples. Certaines entreprises, comme Adobe, ont réussi à rebondir plus fortement après une violation de données en mettant en œuvre des mesures de sécurité robustes et en démontrant leur engagement envers la protection des données des utilisateurs. Cependant, d'autres peinent à retrouver la confiance des consommateurs et subissent des dommages réputationnels. Il en dépend beaucoup de la façon dont l'entreprise répond a l'évènement et communique avec ses utilisateurs.
Le temps dira quelle trajectoire Droite au Coeur suivra.
