Un problème assez important touche L’Express. Une base de données comprenant les informations personnelles de près de 700 000 lecteurs du journal a été accessible sur Internet. Un piratage ? Non, la base de données n’était pas protégée par un mot de passe et « n’importe qui » pouvait y accéder sans problème.
ZDNet, qui rapporte la faille, explique que les données ont été accessibles pendant plusieurs semaines sans que personne ne s’en rende compte à L’Express. On retrouvait les noms, prénoms, adresses e-mail, photos de profil, intitulés de publications et des informations complémentaires associées au profil de chaque personne. Il n’y avait pas les mots de passe cependant.
Contacté, L’Express confirme la fuite de données. « L’Express a été victime d’une intrusion illégale dans l’un de ses serveurs », a indiqué le magazine d’actualité qui tente de minimiser l’affaire en expliquant que le serveur était « inactif » et « autrefois utilisé à des fins de test ». Il ajoute que le serveur « contenait des données correspondant à des comptes créés en 2016 et précédemment sur le site communaute.lexpress.fr, qui n’existe plus aujourd’hui ». Cette déclaration ne semble pas tout à fait exacte cependant. ZDNet rapporte que des données datant de février 2018 existent dans cette base de données.
Il y a deux questions sans réponses à ce jour. La première est pourquoi L’Express n’a rien fait en janvier dernier, mois où il a été averti une première fois par un chercheur américain ? La seconde question est pourquoi L’Express a-t-il conservé les données pendant deux ans s’il affirme que le service a été résilié en 2016.
