Le bureau qui enregistre toutes les sociétés au Royaume-Uni, Maison des entreprises, a rouvert son service WebFilling après l'avoir fermé d'urgence pour corriger une défaillance de sécurité qui aurait permis l'accès à des informations internes de millions d'entreprises. Le problème est apparu après une mise à jour effectuée en octobre 2025 et aurait été actif pendant plusieurs mois, exposant des données sensibles liées à l'orientation et au contact des responsables des sociétés enregistrées.
La conclusion est venue à l'opinion publique après que le chercheur John Hewitt, connu pour son travail avec Ghost Mail, a rapporté sur le jugement et n'a pas obtenu une réponse suffisante, Dan Neidle, fondateur de l'organisme à but non lucratif Associés de la politique fiscale, présenter l'incident à Companies House. La description technique du défaut est inhabituellement simple: en commençant une session avec un compte légitime et en choisissant de "présenter au nom d'une autre entreprise", en entrant un numéro d'entreprise et en retournant dans le navigateur, la session pourrait être "fermée" au dossier d'une autre entreprise. En d'autres termes, un utilisateur authentifié pourrait finir par regarder le panneau de gestion d'une autre entreprise sans le code de vérification correspondant.
La portée estimée du problème est importante: Jusqu'à cinq millions de dossiers potentiellement touchés sont discutés sur une période d'environ cinq mois. Les données qui auraient pu être visibles comprennent les dates de naissance, les adresses résidentielles et les adresses postales associées aux entreprises. Entreprises House a confirmé que, selon ses premières constatations, aucun mot de passe ou document utilisé pour la vérification de l'identité (p. ex. passeports) n'avait été commis et que les documents déjà présentés publiquement ne pouvaient être modifiés par cette décision. L'agence elle-même a publié une note expliquant son évaluation initiale et les mesures prises: Communiqué de Sociétés House.
L'organisme a en outre indiqué que la vulnérabilité ne pouvait être exploitée que par des utilisateurs authentifiés et que la méthode permettait l'accès à des enregistrements individuels, ce qui limite certaines attaques de masse automatisées mais n'élimine pas complètement le risque d'abus systématique, par exemple pour recueillir des adresses ou établir des listes pour les campagnes d'hameçonnage. Companies House a signalé l'incident au Commissariat à l'information du Royaume-Uni ( ICO) et le Centre national pour la cybersécurité ( CNSC) et veille à ce que l'enquête soit toujours en cours.
Au-delà de la chronologie et des déclarations officielles, les conséquences pratiques de l'inquiétude pour les entreprises et les gestionnaires sont claires. L'exposition aux adresses personnelles et aux courriels accroît le risque de campagnes ciblées d'ingénierie sociale, de harcèlement, de vol d'identité et de fraude impliquant des membres du conseil ou des administrateurs. L'information publique qui assure la transparence commerciale crée également des tensions avec la vie privée : le dossier public vise à prévenir les infractions financières et à accroître la transparence, mais lorsque les mécanismes techniques échouent, la même ouverture peut devenir une vulnérabilité.
Que peuvent faire les entreprises et les gestionnaires maintenant? Tout d'abord, examinez les notifications et l'historique des activités dans Companies House pour détecter les changements non autorisés. Il est prudent d'activer tout mécanisme d'avertissement que l'enregistrement offre, et de vérifier les courriels et les appels suspects qui pourraient chercher à profiter des données filtrées. Les personnes dont les maisons sont inscrites au registre peuvent envisager de demander la protection de l'adresse résidentielle lorsque la réglementation le permet, et toutes les entreprises devraient renforcer les contrôles internes : valider les notifications de modifications de l'inscription par des canaux indépendants, vérifier les signatures et les autorisations avant d'accepter les modifications et, si une activité anormale est détectée, contacter Companies House et envisager une notification officielle à l'ICO.
Du point de vue technique et organisationnel, l'incident met en évidence les défaillances habituelles dans la gestion des changements et des déploiements : les mises à jour qui introduisent des régressions dans la logique de session ou le contrôle d'accès sont une source récurrente de fuites. Audits de codes, tests de régression, examens du contrôle d'accès et programmes de divulgation responsables (bug rebond) sont des mesures qui aident à détecter les échecs avant qu'ils n'atteignent la production. De plus, les documents publics ayant une incidence sur la vie privée doivent équilibrer la disponibilité avec des contrôles de sécurité stricts et un plan d'intervention clair et transparent lorsque quelque chose tourne mal.
La situation suscite également une réflexion plus large sur la confiance dans les infrastructures publiques numériques. Les dossiers commerciaux sont les piliers de l'écosystème des affaires : ils facilitent la diligence raisonnable, le recrutement et la supervision. Mais son fonctionnement sûr dépend à la fois de la qualité du logiciel et de la gouvernance qui l'entoure : versions, tests, documentation et processus de rapport. La communication de Companies House et le fait qu'ils aient des organismes de réglementation informés sont des mesures nécessaires, mais pour retrouver confiance, il sera essentiel que la recherche détermine si la vulnérabilité a été exploitée et que les leçons apprises et les améliorations mises en œuvre soient publiées.
Pour ceux qui veulent suivre l'évolution officielle de l'affaire, il convient de consulter les sources principales : la notification de Companies House sur le site du gouvernement ( détail officiel) et le rapport initial des associés de la politique fiscale qui documente la découverte ( analyse de Dan Neiddle). Il est également recommandé de suivre les publications et les guides de l ' Institut ICO et CNSC pour les recommandations et les mesures à prendre si l'on soupçonne qu'elles ont été touchées.
Bref, cet incident est un rappel pour les administrations et les entreprises: la transparence publique ne peut être une excuse pour négliger la sécurité. Lorsque l'infrastructure qui appuie l'information critique échoue, les conséquences sortent de l'environnement technique et affectent la vie quotidienne des personnes et des entreprises. La réponse sera mesurée non seulement par les corrections appliquées, mais par la clarté, la rapidité de l'enquête et les garanties offertes afin que quelque chose de similaire ne se reproduise pas.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...