Une faille API chez un sous-traitant du Pentagone expose des données militaires sensibles

Un sous-traitant du Département de la Défense américain a exposé des données sensibles liées à des militaires et à des formations militaires via des points de terminaison API mal sécurisés. Selon un rapport publié par Strix, un projet de sécurité autonome open source, la plateforme Schemata, spécialisée dans la formation virtuelle pour les secteurs militaire et de la défense, présentait des vulnérabilités critiques.

Des données militaires sensibles accessibles sans autorisation

Strix révèle qu’un compte à faible privilège a pu accéder à des données couvrant plusieurs organisations clientes de Schemata. Parmi les informations exposées figuraient :

• Des listes d’utilisateurs et des enregistrements d’organisations ;
• Des informations sur les cours de formation, y compris des métadonnées et des liens vers des documents hébergés sur Amazon Web Services ;
• Un cours de formation virtuelle en 3D pour le personnel de maintenance navale, marqué comme confidentiel et propriétaire ;
• Un cours contenant des manuels de l’armée américaine sur la manipulation d’ordnance explosive et les tactiques de déploiement ;
• Des centaines d’enregistrements d’utilisateurs liés à des bases militaires et à des inscriptions en formation.

Ces données incluaient également des noms, adresses e-mail, détails d’inscription et les bases militaires où étaient stationnés les militaires américains.

Une faille exploitable sans technique avancée

Selon Strix, la vulnérabilité ne nécessitait pas d’exploit complexe. Les chercheurs ont utilisé un compte à faible privilège pour observer le trafic normal du navigateur, identifier les points de terminaison API exposés, puis envoyer des requêtes pour récupérer des données sensibles. Ces requêtes ont renvoyé des enregistrements en dehors de l’organisation du compte, indiquant que l’API ne respectait pas les limites de tenants ni les permissions utilisateur.

Dans les logiciels multi-locataires, les contrôles d’autorisation sont conçus pour garantir que les utilisateurs n’accèdent qu’aux données et fonctions autorisées pour leur compte ou organisation. La faille décrite par Strix représente une défaillance fondamentale de ce modèle.

Strix a également signalé que certaines routes semblaient « activées en écriture », permettant potentiellement à un acteur malveillant de modifier ou supprimer des cours via des requêtes de mise à jour ou de suppression. Cependant, le rapport ne précise pas si des tests destructifs ont été effectués.

Réponse tardive et questions sur la gestion des vulnérabilités

Schemata a reconnu que les points de terminaison vulnérables étaient exposés depuis le 1er mai, après un processus de divulgation de 150 jours. Strix affirme avoir vérifié la correction des vulnérabilités avant publication et a rendu public son rapport cette semaine, soit 152 jours après sa première tentative de signalement.

Le calendrier de divulgation soulève des questions sur la manière dont les entreprises gérant des données sensibles pour le gouvernement traitent les rapports de vulnérabilités. Selon Strix, sa première prise de contact avec Schemata remonte au 2 décembre 2025. Le PDG de Schemata aurait initialement répondu : « J’aimerais savoir quelle est la vulnérabilité, mais je suppose que vous voulez être payé pour cela. C’est le jeu ? »

Strix a précisé le même jour que la rémunération n’était pas requise et que sa priorité était la sécurité des utilisateurs. L’organisation a envoyé plusieurs relances entre le 8 et le 29 décembre, avertissant des risques potentiels, mais n’a reçu aucune réponse avant le 1er mai.

Risques pour la sécurité opérationnelle

Schemata a déclaré dans un communiqué sur son site web qu’elle n’avait « aucune preuve qu’un tiers ait exploité la vulnérabilité pour accéder aux données clients ». Cependant, même en l’absence de données classifiées, l’exposition d’informations comme les bases militaires des militaires, leurs formations ou leurs accès pourrait présenter des risques si elles étaient récupérées par des acteurs non autorisés.

La plateforme de Schemata est utilisée dans des environnements de formation militaire et de défense, où les identités des utilisateurs, leurs affectations et leurs inscriptions aux cours peuvent révéler des informations opérationnelles sensibles.