Derrière le rideau du Wiki : les pages publiques de Notion dévoilent l’identité des éditeurs

Imaginez partager le wiki de votre entreprise avec le monde entier, pour découvrir que vous avez également diffusé les adresses e-mail et les visages de chaque employé qui l’a modifié. C’est la réalité alarmante à laquelle sont aujourd’hui confrontés des milliers d’utilisateurs et d’organisations de Notion, alors qu’une faille discrète mais dangereuse de la célèbre plateforme collaborative vient d’être révélée.

Anatomie d’une fuite de données

Il ne s’agit pas simplement de malchance ou d’erreurs techniques obscures. Des chercheurs en sécurité ont récemment démontré que toute page Notion publiée via la fonction « Publier sur le web » expose une mine d’informations personnelles sur ses éditeurs - including leurs vrais noms, adresses e-mail et photos de profil. Le pire ? Accéder à ces données ne demande aucune compétence en piratage : pas de connexion, pas d’autorisations spéciales, même pas d’extension de navigateur.

La racine du problème réside dans la gestion des métadonnées des pages publiques par Notion. Lorsqu’une page est publiée, le code source liste discrètement les identifiants uniques universels (UUID) de chaque éditeur. Avec un simple script, n’importe qui peut extraire ces identifiants de la page et les envoyer au point de terminaison interne de l’API de Notion - /api/v3/syncRecordValuesMain. En réponse, le serveur fournit la liste complète des informations personnelles identifiables (PII) des éditeurs, sans même demander de mot de passe.

Pour les cybercriminels, c’est une invitation ouverte. Ils peuvent récolter en masse noms et e-mails depuis des milliers de pages publiques Notion, se préparant à des attaques de phishing ciblées ou d’ingénierie sociale. Les wikis d’entreprise, documentations et bases de connaissances - souvent conçus pour promouvoir la transparence - deviennent un terrain de jeu pour les acteurs malveillants.

Pire encore, il ne s’agit pas d’une nouvelle vulnérabilité. Elle a été signalée discrètement à Notion via HackerOne en 2022, mais classée comme « informative ». Ce n’est qu’après que des chercheurs comme @weezerOSINT et @k1rallik ont mis en lumière les risques actifs que le problème a pris de l’ampleur dans la communauté de la sécurité. L’affirmation initiale de Notion selon laquelle les utilisateurs seraient avertis de cette exposition n’a pas convaincu, aucune alerte de ce type n’apparaissant lors du processus de publication.

Aujourd’hui, sous pression, Notion a reconnu la faille. L’entreprise envisagerait des options comme la suppression des PII des réponses publiques de l’API ou le masquage des e-mails - un modèle similaire à celui de GitHub. En attendant un correctif, les experts conseillent aux utilisateurs de revoir et dépublier les pages sensibles, de restreindre l’accès des éditeurs et de rester attentifs aux mises à jour officielles.

Réflexion

Cet incident rappelle brutalement qu’à l’ère numérique, la commodité et la collaboration peuvent se faire au détriment de la vie privée. À mesure que des plateformes comme Notion deviennent centrales dans le partage de connaissances organisationnelles, comprendre comment les données circulent - et fuient - en coulisses est plus crucial que jamais.

WIKICROOK

• Informations personnelles identifiables (PII) : Les informations personnelles identifiables (PII) sont des données, comme les noms ou adresses, qui permettent d’identifier une personne spécifique.
• Point de terminaison API : Un point de terminaison API est une adresse web spécifique où des systèmes logiciels échangent des données, agissant comme une fenêtre de service numérique sécurisée pour les requêtes et réponses.
• UUID (Identifiant Unique Universel) : Un UUID est une chaîne unique attribuée à des utilisateurs ou objets, utilisée pour les distinguer et les suivre de manière sécurisée dans les systèmes numériques.
• Phishing : Le phishing est une cybercriminalité où des attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou cliquer sur des liens malveillants.
• Métadonnées : Les métadonnées sont des informations cachées attachées à des fichiers numériques, comme des photos ou publicités, contenant des détails tels que la date de création, l’auteur ou l’appareil utilisé.