"Droite au cœur", site de rencontres des "patriotes", laissait fuiter les données des utilisateurs

C'est un site qui a beaucoup fait parler de lui ces derniers jours: "Droite au cœur", un site de rencontres dédiés aux "patriotes", selon ses propres mots. Après une campagne de publicité matéralisée par une vidéo promotionnelle, le site a rapidement été épinglé pour des raisons de cybersécurité.

Mathis Hammel, expert en cybersécurité, a tweeté le 29 juillet avoir découvert une faille laissant au vu et au su de tous les données personnelles des utilisateurs.

"Je me suis inscrit un peu par hasard, et j'ai regardé si mes données étaient protégées correctement. La réponse était non, et de manière flagrante", détaille l'expert auprès de Tech&Co.

Des données à l'air libre

En raison d'un manque de sécurité sur le site, Mathis Hammel a pu accéder aux données personnelles d'un profil: âge, sexe, ville, intérêts, orientation sexuelle, etc. Des données personnelles et sensibles, qui ne sont certainement pas vouées à être ainsi consultées par n'importe qui.

"La faille est importante, car elle peut rapidement être automatisée. On peut ainsi récupérer les données des profils en quelques secondes. C'est la première chose qui m'a alerté, et je n'ai pas creusé davantage", explique-t-il.

Le site s'appuie sur une solution "no-code", c'est-à-dire un site web quasiment livré clé en main, que l'on personnalise. "J'ignore s'ils ont fait appel à un prestataire ou s'ils se sont simplement appuyés sur un modèle, mais en tout cas, c'est très mal codé", affirme Mathis Hammel.

Les gérants du site ont indiqué avoir pris connaissance de cette faille, et prendre des mesures pour la résoudre.

Données aisément récupérables

"Nous mettons actuellement en place des éléments de cybersécurité supplémentaires. Nous avons effectivement été alertés d'un risque de fuite de données. Le site est donc en maintenance actuellement pour assurer au mieux la protection de nos utilisateurs et de leurs données", a expliqué Yohan Pawer, l'un des fondateurs du site, auprès de Tech&Co.

La faille semble vraisemblablement résolue depuis ce mardi 1er août. C'est en tout cas ce qu'affirme Mathis Hammel par l'intermédiaire d'un tweet.

Concrètement, l'interface de programmation d'application (API), particulièrement vulnérable en raison des caractéristiques du site, envoyait les données personnelles des utilisateurs vers l'interface avec laquelle interagissent ces derniers. Sans filtre et sans sécurité adéquate, les données en question étaient aisément récupérables.

Malgré la correction de cette lacune, le site semble toujours en maintenance. Pour l'heure, Tech&Co n'a pas pu s'entretenir avec le prestataire en cybersécurité missionné par "Droite au cœur".