Une base de données contenant des informations sensibles, parfois personnelles, provenant du Fonds d’affectation spéciale des Nations Unies pour mettre fin à la violence à l’égard des femmes était ouvertement accessible sur Internet, révélant plus de 115 000 fichiers liés à des organisations partenaires ou recevant des financements d’ONU Femmes. Les documents vont des informations sur le personnel et les contrats aux lettres et même aux audits financiers détaillés sur les organisations travaillant avec des communautés vulnérables à travers le monde, y compris sous des régimes répressifs.
Le chercheur en sécurité Jeremiah Fowler a découvert la base de données, qui n’était pas protégée par mot de passe ni autrement contrôlée, et a divulgué ses découvertes à l’ONU, qui a sécurisé la base de données. De tels incidents ne sont pas rares et de nombreux chercheurs trouvent et divulguent régulièrement des exemples d’expositions pour aider les organisations à corriger les erreurs de gestion des données. Mais Fowler souligne que cette omniprésence est exactement la raison pour laquelle il est important de continuer à sensibiliser à la menace de telles erreurs de configuration. La base de données d’ONU Femmes est un excellent exemple d’une petite erreur qui pourrait créer un risque supplémentaire pour les femmes, les enfants et les personnes LGBTQ vivant dans des situations hostiles à travers le monde.
“Ils font un excellent travail et aident de vraies personnes sur le terrain, mais l’aspect cybersécurité reste crucial”, a déclaré Fowler à WIRED. “J’ai déjà trouvé beaucoup de données, notamment auprès de toutes sortes d’agences gouvernementales, mais ces organisations aident les personnes à risque simplement en raison de leur identité et de l’endroit où elles se trouvent.”
Un porte-parole d’ONU Femmes a déclaré à WIRED dans un communiqué que l’organisation apprécie la collaboration des chercheurs en cybersécurité et combine toutes les découvertes extérieures avec ses propres télémétrie et surveillance.
“Conformément à notre procédure de réponse aux incidents, des mesures de confinement ont été rapidement mises en place et des actions d’enquête sont en cours”, a déclaré le porte-parole à propos de la base de données découverte par Fowler. “Nous sommes en train d’évaluer comment communiquer avec les personnes potentiellement concernées afin qu’elles soient conscientes et alertes, ainsi que d’intégrer les leçons apprises pour prévenir des incidents similaires à l’avenir.”
Les données pourraient exposer les personnes de plusieurs manières. Au niveau organisationnel, certains audits financiers incluent des informations sur les comptes bancaires, mais plus largement, les divulgations fournissent des détails précis sur l’endroit où chaque organisation obtient son financement et comment elle budgétise. Les informations comprennent également une ventilation des coûts de fonctionnement et des détails sur les employés qui pourraient être utilisés pour cartographier les interconnexions entre les groupes de la société civile dans un pays ou une région. Ces informations sont également propices aux abus dans le cadre d’escroqueries, car l’ONU est une organisation très fiable, et les données exposées fourniraient des détails sur les opérations internes et serviraient potentiellement de modèles à des acteurs malveillants pour créer des communications d’apparence légitime prétendant provenir de l’ONU.