La CNIL fait corriger une fuite de données dans un outil utilisé par des mairies

Fuite de données – C’est la rentrée scolaire ! De nombreuses communes de France proposent le Portail famille, un espace dédié aux modes d’accueils de votre enfant et à la facilité de vos démarches administratives. Sauf que ce portail fuitait. La CNIL est intervenue après l’alerte de ZATAZ. Le trou a été bouché dans la seconde.

Fuite de données pour la rentrée ? Plusieurs communes Françaises comme Montigny-le-Bretonneux, Sannois… utilisent l’outil « Portail Famille » d’Agora+. Cette excellente application web est à la disposition des familles dont les enfants sont inscrits en début d’année dans l’un des services municipaux d’une commune : école primaire, maternelles, accueils de loisirs, école de musique, restauration scolaire … Comme l’explique la Ville de Sannois, le Portail Famille donne « la possibilité de réserver, de consulter vos factures en ligne ou modifier vos données personnelles« .

Bref, plus de contrainte de vous déplacer en mairie pour vous acquittez de vos factures et autres déclarations scolaires et périscolaires. Sauf que… durant plusieurs semaines, l’outil fuitait les informations des parents et de leurs enfants.

Plusieurs lecteurs de ZATAZ se sont inquiétés de pouvoir accéder aux données de familles, des informations autres que leurs propres dossiers. Après s’être identifiés, les parents pouvaient tout simplement changer le numéro d’identifiant les concernant, bref ID=01 pouvait se transformer en ID=02, ID=03…

Et pas besoin d’être un génie de l’informatique pour la jouer NSA et espionner son prochain avec un tel bug. « En changeant le chiffre, m’explique Anne-Lyse, j’accède aux fiches d’enfants qui ne sont pas les miens« . Dans la foulée, d’autres modifications enfantines sur l’URL permettaient « de visualiser des informations concernant les parents » confirme Jérôme.

Fuite de données très rapidement corrigée

Ni une, ni deux, le Protocole ZATAZ s’est mis en marche. Comme vous le savez, je travaille avec la CNIL au sujet de ce genre de fuite concernant plus qu’une entreprise ou une administration. Ici, la fuite aurait pu être conséquente, elle visait des collectivités, des administrés, des enfants, des données privées et sensibles. La CNIL saisie, l’entreprise a corrigé le problème très rapidement. « Dès que nous avons été informés, ma confirmé le responsable de la société, nous avons corrigé et patché. » Heureusement pour les utilisateurs, le Protocole d’Alerte de ZATAZ aura été plus rapide que les malveillants avides de données.

Fuite de données : des infos qui valent de l’or

Comme je peux vous le démontrer malheureusement très souvent, les données d’un « simple » particulier valent de l’or. Prenons l’exemple d’une fuite concernant le numéro de téléphone portable, le mail et l’adresse physique d’une personne. Bref, des informations que nous diffusons un peu partout dans les fichiers que l’on nous impose de remplir. Dans le black market, comme je peux vous le montrer, un listing de numéros [+5000] de téléphones portables peut se commercialiser [moyenne constatée ce 02 septembre dans 4 boutiques du Dark Web] 42 euros. L’intérêt d’une telle base de données [BDD] ? Si je vous parle de Ping Call, de spam SMS, de faux appels vous proposant à rappeler une ligne surtaxée, de diffusion de malware, de phishing ? Vous commencez à mieux comprendre pourquoi votre numéro de portable vaut de l’or ? Bref, la même utilisation malveillante pour votre adresse électronique.

En ce qui concerne l’adresse physique, de nombreuses personnes me demandent lors de mes conférences l’intérêt de collecter des adresses physiques. Dans le petit monde du black market, la recherche de DropBox [rien à voir avec le logiciel éponyme, NDR] est une priorité pour ceux qui veulent blanchir de l’argent volé en se faisant envoyer des colis [high-tech, produits de luxe…] Des colis qui n’arriveront pas au domicile du voyou, mais à une adresse physique qu’ils considéreront comme pratique, facile d’utilisation, tranquille et anonyme. Bref, un pirate se fait livrer plusieurs téléphones acquis avec des données bancaires piratées. Une livraison dont l’adresse DropBox… est la votre ! Bon courage pour vous expliquer auprès des autorités qui pourraient être saisies d’une plainte pour vol !

Pour rappel, dès mai 2018, ce genre de fuite de données devra être communiquée à la CNIL ainsi qu’aux personnes concernées. Un petit audit aujourd’hui, vaudra mieux qu’une grosse claque demain. Imaginez, vous avez 50.000 clients dont les informations ont fuité, ont été piratées, perdues… Il vous faudra alerter votre petit monde dans les 72 heures via un recommandé avec accusé réception, soit 9€ X 50.000. Je vous laisse faire l’addition !