Une erreur vient d’exposer 4,5 millions d’adresses e-mail appartenant à de grandes entreprises françaises, comme Renault ou Carrefour, et à des institutions du gouvernement. Laissée en accès libre sur Internet, une base de données a divulgué une montagne de données sensibles.
Fin février 2026, les chercheurs de Cybernews ont fait une découverte alarmante sur Internet. Comme ça arrive trop souvent, les chercheurs ont mis la main sur une base de données accessible sans aucune protection, sans aucune demande de mot de passe, et sans authentification. N’importe quel internaute pouvait pénétrer dans le répertoire pour y piocher des données.
Dans la base, les chercheurs ont trouvé plus de 40 millions d’enregistrements SMTP (Simple Mail Transfer Protocol), relatifs au protocole qui permet à un domaine d’envoyer et de recevoir des e-mails de façon sécurisée. Après enquête, le média spécialisé est parvenu à remonter jusqu’au propriétaire du répertoire. Il s’agit d’Alinto, une entreprise lyonnaise spécialisée dans les solutions de messagerie pour les entreprises et les institutions. Le serveur vulnérable hébergeait notamment Cleanmail.eu, le service de relais sécurisé de messagerie d’Alinto.
À lire aussi : Fuite de données – la CNIL dévoile les cibles de ses prochains contrôles
Renault, DHL, des ministères… une longue liste de victimes françaises
Dans la base de données, les chercheurs ont débusqué des informations sur une longue liste d’organisations françaises. Le rapport du média explique avoir déniché les métadonnées des échanges par mail de L’Oréal, Renault, Carrefour, Hermès et DHL. Tous ces groupes s’appuient sur les solutions d’Alinto pour gérer tout ou partie de leur messagerie professionnelle.
Au sein du répertoire, les experts ont aussi découvert au moins 14 000 adresses e-mail uniques appartenant à des institutions de l’État français. Des ministères, des communes, des collectivités locales, et des ambassades de France réparties dans le monde entier sont répertoriées. Au total, ce sont 4,5 millions d’adresses e-mail uniques, à la fois professionelles et personnelles, qui ont été recensées par les chercheurs. Les documents exposés, « provenant des secteurs public et privé, faisaient référence à des courriels accessibles au public ainsi qu’à des courriels liés à des employés spécifiques », souligne l’enquête.
À lire aussi : Nouvelle fuite de données en France – la plateforme de vérification d’identité Sumsub a été piratée
Quelles données ont été exposées ?
Parmi les données accessibles dans les enregistrements SMTP, on trouvait l’adresse e-mail de l’expéditeur et du destinataire (et les éventuels destinataires en copie), la date et l’heure exacte d’envoi, l’objet du message, l’itinéraire des serveurs par lesquels le message est passé, avec horodatage à chaque étape, et l’adresse IP. Les chercheurs soulignent cependant que le contenu des e-mails n’a pas été exposé.
Néanmoins, la base de données reste une mine d’or pour les cybercriminels qui voudraient orchestrer des cyberattaques. Comme l’expliquent les chercheurs à l’origine de l’enquête, « connaître les adresses qui communiquent entre elles et à quels moments révèle des données comportementales susceptibles de faciliter d’autres attaques ». En exploitant les données, il est possible d’usurper « l’identité d’un contact habituel, ou envoyer des communications au moment précis où elles sont attendues ».
En analysant qui envoie des messages à qui, à quelle fréquence et à quel moment de l’année, un attaquant peut aussi reconstituer l’organigramme d’une entreprise, identifier les décideurs clés, anticiper des lancements de produits ou détecter des partenariats encore confidentiels. Les métadonnées peuvent donc servir à des opérations d’espionnage industriel.
« Parce qu’Alinto fournit des solutions de gestion de messagerie, l’exposition du trafic e-mail de ses entreprises clientes élargit considérablement la surface d’attaque potentielle — ne serait-ce qu’en raison du nombre de clients concernés — par rapport à une fuite qui n’affecterait que quelques entreprises échangeant entre elles », explique CyberNews.
Le lendemain de la découverte de CyberNews, Alinto a corrigé le tir. La base de données n’est désormais plus accessible à n’importe quel internaute. L’enquête ne précise pas si les données ont pu être récupérées par des cybercriminels. Cependant, on ignore pendant combien de temps cette base de données est restée accessible à n’importe qui sur Internet, ni ce qui a pu se passer durant ce laps de temps. Il n’est pas impossible que les informations aient été collectées par des tiers avant qu’Alinto ne sécurise le serveur. Cette fuite accidentelle contribue néanmoins à accroître la menace qui plane sur les institutions et les entreprises françaises, déjà dans le colimateur des pirates depuis des mois.
C’est loin d’être la première fois que CyberNews débusque une base de données laissée en accès libre sur Internet. Ces derniers mois, le média spécialisé a déjà mis la main sur une base de données appartenant à IDMerit, spécialiste de la vérification d’identité (KYC), ainsi que sur un répertoire de 150 Go contenant 3 milliards d’adresses e-mail uniques.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
CyberNews