Let’s Encrypt a malencontreusement divulgué plus de 7000 adresses e-mail d’utilisateurs, ajoutées automatiquement lors de l’envoi d’une liste de diffusion. La raison incriminée ? Un « bug » sur le logiciel utilisé.
Alors que tout roulait pour le fournisseur de certificats SSL Let’s Encrypt, il fallait bien que quelque chose ternisse tout ça. En l’occurrence, ni pirate, ni intervention divine ou extra terrestre, mais un « bug » lors de l’envoi d’une liste de diffusion. Ce sont ainsi 7 617 adresses e-mail d’utilisateurs qui se sont retrouvées ajoutées à l’e-mail.
« Le 11 juin 2016, nous avons commencé à envoyer un email à tous nos abonnés actifs qui nous ont donné une adresse afin de les informer d’une mise à jour sur notre contrat d’abonnement. Cela a été fait par le biais d’un système automatisé qui contenait un bug qui, par erreur, a ajouté entre 0 et 7 617 autres adresses emails dans le corps du message. Conséquence, les destinataires pouvaient voir des adresses email des autres utilisateurs ».
« le problème a été détecté et le système arrêté après que 7 618 emails sur environ 383 000 (1,9 %) ont été envoyés. Chaque correspondance contenait par erreur les adresses email des destinataires précédents »
C’est ainsi que chaque destinataire pouvait voir les adresses e-mails des destinataires précédents. Le premier n’en voyait aucune, le second voyait l’adresse du premier, etc… Jusqu’au 7 618ème qui pouvait voir les 7 617 destinataires précédents
Let’s Encrypt indique que la mailing list a été lancée à 03h47 et que le premier signalement de bug a été reçu à 04:20. Suite à ça l’envoi a été stoppé neuf minutes plus tard. Un premier rapport a été publié à 05:28. On soulignera tout de même la réactivité.
Let’s Encrypt explique qu’un bug se situait dans un bout de code utilisé pour la première fois, malgré les « tests » préalables à la mise en production.
Evidemment, Let’s Encrypt s’excuse et annonce que les mesures nécessaires ont été prises afin d’éviter tout autre incident de ce type.