Les données personnelles de près de 700 000 internautes inscrits sur le site Web de l’hebdomadaire L’Express étaient accessibles sur Internet pendant plusieurs semaines, selon un article publié jeudi 1^er mars par le site spécialisé ZDnet.

Figuraient dans une base de données disponible en ligne et sans mot de passe pour la protéger notamment les noms, prénoms, adresses courriel et photos de profil de 693 000 personnes inscrites sur le site communautaire de l’hebdomadaire. L’Express s’est dit « victime d’une intrusion illégale dans l’un de ses serveurs ».

Averti en janvier de cette fuite par un spécialiste américain de sécurité informatique qui avait découvert par hasard le fichier en ligne, L’Express n’a pas immédiatement réagi et les données sont demeurées en ligne jusqu’à ce que ZDNet contacte la rédaction de l’hebdomadaire. Les données ont fini par être retirées en fin de semaine dernière.

Des données visées par des tiers

Selon le site spécialisé, l’historique des modifications de la base de données montre que des pirates ont réussi à y accéder « plus d’une douzaine de fois », sans doute pour les supprimer avant de proposer une rançon à L’Express en échange de leur restauration.

Selon les explications de L’Express auprès de ZDnet, ce serveur — qui permettait le fonctionnement d’une portion abandonnée du site de l’hebdomadaire — serait « inactif » et contiendrait des données vieilles de deux ans et plus. Des données datant de février ont cependant été retrouvées dans la base de données par le site spécialisé.