Companies House, l’agence gouvernementale britannique responsable du registre des entreprises au Royaume-Unis, a récemment remis en service son service WebFiling après une interruption pour corriger une faille de sécurité significative. Cette vulnérabilité, présente depuis octobre 2025, exposait des informations sensibles concernant les entreprises.
Dan Neidle, fondateur de l’organisation à but non lucratif Tax Policy Associates, a alerté le registre des entreprises britannique sur cette faille après que John Hewitt de Ghost Mail n’ait pas reçu de réponse à son signalement. Neidle a expliqué que l’accès à cette faille était facile : il suffisait de se connecter à Companies House avec ses propres identifiants, puis d’opter pour « déposer pour une autre entreprise » en entrant le numéro d’une des cinq millions d’entreprises enregistrées.
Une fois sur le tableau de bord de l’autre entreprise, l’utilisateur, en l’absence de code d’authentification requis, pouvait retourner à son tableau de bord, mais se retrouverait en réalité sur celui de l’autre entreprise.
D’après Neidle, cette faille aurait exposé des données de cinq millions d’entreprises pendant cinq mois, incluant les adresses personnelles et électroniques des dirigeants. Companies House a confirmé l’existence de cette vulnérabilité après le retour en ligne du service de dépôt.
L’agence a précisé que le problème, introduit lors d’une mise à jour de ses systèmes WebFiling, aurait pu être exploité uniquement par des utilisateurs connectés. Cela aurait permis de modifier certains détails d’une autre entreprise sans son consentement, bien que l’extraction de données ne pouvait se faire qu’une entrée à la fois. Certaines informations qui ne sont généralement pas publiées sur le registre auraient pu être visibles, incluant dates de naissance et adresses résidentielles.
Bien que Companies House ait assuré qu’aucun mot de passe utilisateur n’avait été compromis et que les données utilisées lors du processus de vérification d’identité, comme les informations de passeport, n’avaient pas été accessibles durant la période vulnérable, l’agence poursuit son enquête. Elle a également rapporté l’incident au Information Commissioner’s Office (ICO) et au National Cyber Security Centre (NCSC).
Dans sa déclaration, Companies House a indiqué ne pas avoir reçu de signalements d’accès ou de modifications non autorisées des données, mais l’enquête est en cours avec l’engagement de maintenir la transparence sur l’évolution de la situation.