Comment une plateforme dédiée à l’accompagnement de jeunes vers la réussite scolaire peut-elle faillir à protéger leurs données les plus sensibles ? UStrive, un service de mentorat en ligne plébiscité par plus d’un million de jeunes américains, s’est retrouvé au cœur d’une tempête numérique après la découverte d’une faille qui a exposé des informations confidentielles appartenant, entre autres, à des mineurs.
Quelles données étaient en jeu ? Imaginez pouvoir consulter, à partir de votre simple profil utilisateur – sans permission particulière – non seulement le nom, mais aussi le mail, le numéro de téléphone et d’autres informations personnelles de centaines de milliers d’étudiants. Cette vulnérabilité, discrètement signalée la semaine dernière à TechCrunch par un internaute prudent, révèle les failles béantes qui persistent parfois au sein d’organisations à but non lucratif, censées inspirer confiance.
Comment une telle brèche a-t-elle pu subsister sur UStrive ? L’enquête pointe une interface technique, GraphQL hébergée sur Amazon, laissant quiconque avec un compte se balader dans une véritable mine de données, y compris la date de naissance et le genre des utilisateurs. Selon le lanceur d’alerte, ce sont au moins 238 000 profils qui étaient librement accessibles à la date de la découverte. Cependant, UStrive se targue sur son site d’un chiffre bien supérieur : plus d’1,1 million de bénéficiaires de son service.
Même les acteurs les mieux intentionnés ne sont pas à l’abri de bouleversements majeurs quand la cybersécurité est négligée.
Pourquoi tant de silence ? Alors que TechCrunch alertait l’équipe dirigeante de UStrive, la réponse fut évasive. L’avocat chargé de leur dossier a mentionné une bataille judiciaire en cours avec un ancien ingénieur, freinant la communication officielle. Pendant ce temps, la plateforme continuait d’exposer les données personnelles des enfants, et aucune indication n’a filtré quant à une éventuelle notification des utilisateurs – un point crucial à l’heure où la transparence devrait primer, notamment en matière de données sensibles.
La faille a-t-elle été colmatée dans l’urgence, ou le risque persiste-t-il ? Le directeur technique Dwamian Mcleish affirme avoir remédié à la situation, mais n’a pas répondu aux interrogations plus profondes de TechCrunch concernant l’audit de sécurité, la traçabilité des accès non autorisés, ou la communication aux utilisateurs. Un silence lourd de conséquences pour une association qui se veut exemplaire.
Au final, ce manque de clarté et de réactivité soulève une question fondamentale : les jeunes bénéficiaires et leurs mentors pourront-ils encore faire confiance à UStrive, sans crainte que leurs parcours, projets et identités numériques ne soient exposés ?
Source : Techcrunch
