Une erreur commise chez OpenSyndic, une plate-forme en ligne pour des services de syndic, a fait en sorte que des factures, rapports et documents juridiques étaient faciles à trouver via Google pendant un certain temps. Le problème est maintenant résolu.
OpenSyndic est une plate-forme où un syndic peut facilement partager des factures, des règlements ou d’autres documents avec les résidents d’un immeuble. Selon l’entreprise à l’origine de la plate-forme, 3XC, (l’abréviation de Cloud Computer Company), elle est utilisée par quelque quatre cents syndics.
Un lecteur de Data News et habitant d’un tel immeuble a remarqué que les liens vers les factures sur la plate-forme pouvaient être consultés sans autorisation. Ce n’est pas un problème majeur pour autant que les liens ne puissent pas être récupérés facilement, mais une brève recherche sur Google nous a rapidement donné accès à des dizaines de documents consultables de manière non sécurisée sur OpenSyndic.
Il s’agit notamment de rapports d’assemblées générales, comprenant les noms des participants et, compte tenu de la matière abordée, leurs adresses, leurs relations de propriété, mais également des factures d’avocats concernant des mises en demeure.
‘Petite erreur d’estimation’
Le lecteur en question a pris contact avec son propre syndic, puis avec 3XC la semaine dernière. Depuis lors, les documents ne sont plus consultables, et la plate-forme OpenSyndic a donc été inaccessible pendant plusieurs jours.
Dans une réponse à Data News, 3XC, la société à l’initiative d’OpenSyndic, a déclaré avoir été informée du problème et l’avoir résolu immédiatement, le qualifiant même de ‘petite erreur d’estimation’. L’entreprise affirme également que les autorités compétentes et les clients ont été informés de l’incident.
Initialement, les documents en question n’étaient plus consultables dans Google. Mais via la cache des moteurs de recherche, Data News a découvert mardi soir qu’il était encore possible de visionner partiellement les documents indexés. Nos rédacteurs ont pu retrouver, entre autres, les noms de certains syndics ou de leurs fournisseurs (électriciens, entreprises de nettoyage, installateurs de systèmes d’alarme), mais aucun document complet et donc aucune donnée sensible ni montant de facture.
Pas un piratage, mais le risque reste vague
Dans ce cas, il ne s’agit pas, par exemple, d’une intrusion dans des systèmes, où des criminels peuvent à coup sûr voler des données. Les abus criminels ont peut-être également été évités, parce que le lecteur en question a signalé le problème, et que 3XC a réagi rapidement. Mais reste à savoir si les données volées pourraient circuler également ailleurs, au cas où des personnes malveillantes auraient découvert la fuite.
Malheureusement, le stockage non sécurisé de données en ligne est assez fréquent, peu importe finalement la taille d’un système. Jusqu’à il y a quelques années, il arrivait régulièrement que des données stockées sur AWS restent publiques en raison d’un piètre paramétrage.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici