Companies House : analyse de la faille WebFiling exposée

Companies House, c'est le registre officiel des entreprises au Royaume-Uni. Imaginez un annuaire geant ou toutes les societes britanniques doivent s'inscrire et deposer leurs documents. Leur service en ligne, WebFiling, permettait aux entreprises de faire leurs demarches administratives sur internet. Sauf que pendant cinq mois, une faille de securite a laisse trainer des informations sensibles a la vue de n'importe qui.

C'est quoi cette faille exactement ?

La vulnerabilite en question s'appelle un IDOR, pour Insecure Direct Object Reference. En francais, ca veut dire "reference directe non securisee a un objet". Concretement, c'est comme si chaque dossier d'entreprise etait range dans un casier numerote, et qu'il suffisait de changer le numero dans l'adresse web pour ouvrir le casier du voisin. Pas besoin de cle, pas besoin de mot de passe special, juste modifier un chiffre dans l'URL.

C'est une erreur de conception assez classique en securite informatique. Le systeme ne verifiait pas si la personne qui demandait un dossier avait le droit de le consulter. Il se contentait de servir le document correspondant au numero demande.

Quelles donnees etaient exposees ?

Les informations accessibles concernaient des documents d'entreprises. On parle de donnees administratives et financieres que les societes deposent aupres du registre : bilans, noms des dirigeants, adresses, ce genre de choses. Certaines de ces informations sont de toute facon publiques, mais d'autres sont censees rester confidentielles ou au moins protegees par un acces controle.

Le probleme, c'est que la faille est restee ouverte pendant cinq mois sans que personne ne s'en apercoive. Cinq mois, c'est une eternite en securite informatique. Pendant tout ce temps, n'importe qui ayant un peu de curiosite technique pouvait fouiller dans les dossiers.

Pourquoi c'est grave ?

Meme si on parle de donnees d'entreprises et pas de donnees personnelles au sens strict, les consequences peuvent etre serieuses. Des informations sur la sante financiere d'une entreprise, l'identite de ses dirigeants ou ses demarches administratives en cours, ca peut servir a monter des arnaques ciblees.

Par exemple, un escroc pourrait utiliser ces informations pour envoyer un faux courrier a une entreprise en se faisant passer pour Companies House. Comme il connait les details du dossier, le message parait credible. C'est ce qu'on appelle du spear phishing, du hameconnage cible avec des informations precises sur la victime.

La reaction de Companies House

Apres la decouverte de la faille, Companies House a corrige le probleme et lance une enquete interne. L'organisme n'a pas communique sur le nombre exact de dossiers potentiellement consultes de maniere illegitime. On ne sait pas non plus si des acteurs malveillants ont effectivement exploite cette faille avant qu'elle soit corrigee.

Ce qui est certain, c'est que cinq mois sans detection, ca pose question sur les mecanismes de surveillance en place. Les bonnes pratiques en securite informatique recommandent de surveiller les acces inhabituels en temps reel. Si quelqu'un consulte des centaines de dossiers en quelques minutes, ca devrait declencher une alerte. Visiblement, ce n'etait pas le cas ici.

Ce qu'on peut en retenir

Cette histoire illustre bien un point fondamental : meme les organismes officiels peuvent avoir des failles basiques dans leurs systemes. Un IDOR, c'est l'une des vulnerabilites les plus connues et les plus documentees. Elle figure dans le Top 10 de l'OWASP, la reference mondiale en matiere de securite des applications web. Qu'un service aussi important que Companies House soit touche montre que la securite informatique reste un defi permanent, meme pour les institutions etablies.