Fuite de données pour un site de la maire de Marseille

Publié le 13-01-2011 à 19:54:03 dans le thème Réseau - Sécurité

Pays : France - Auteur : La rédaction

Pub : Tous les logiciels anti-spam gratuits disponibles sur Internet

Note des lecteurs: 2.4/5

Plusieurs centaines de données appartenant à des administrés de la ville de Marseille en accès libre sur la toile. Voilà plusieurs semaines que nous tentons de joindre un élu de la commune de Marseille, plus précisément ayant en charge les 11ème et 12ème arrondissements. Il a été découvert, via le moteur de recherche Google, une base de données d'administrés ayant écrit à l'administration territoriale. Le problème est que le moteur de recherche américain a intercepté les données et les propose sous forme de deux référencements : le classique, via la barre dédiée et via le cache du géant informatique. Parmi les données, il est possible de consulter les identités, les adresses postales, les numéros de téléphone, les adresses eMails, les âges et les messages envoyés par les Phocéens à leur Mairie. Autant dire que le contenu des messages est privé, voir très privé, touchant la vie privée (ou de leurs voisins, NDR) des internautes. Nous n'expliquerons pas comment accéder à ces données. Nous tenons à disposition de la Mairie de Marseille [téléphone à droite de cette page, NDR] les mots clés qui permettent d'accéder, via Google, à ces informations.

Une affaire qui, sur le papier, peut coûter cher au fautif. La loi informatique et liberté (CNIL) puni ce type de fuite d'informations nominatives de sanctions pouvant atteindre 5 ans d'emprisonnement et 300 000 € d'amende (art. 226-17 du code pénal). La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende. (art. 226-22 du code pénal). Il suffirait qu'un seul administré inclus dans cette liste dépose plainte, auprès de la CNIL, à l'encontre de la commune.

En matière de fuite de données, nombre de pays dans le monde ont fait le choix de la transparence et de faire en sorte que les entreprises déclarent leurs pertes de données. Ce concept de « Data Breach Notification » venu des États-Unis et dont se sont inspirés à divers degrés le Royaume-Uni, l’Allemagne, mais aussi l’Autriche, la Lituanie, l’Estonie et la République Tchèque, intéresse autant qu’il inquiète. En France, pour le moment, le projet de loi publié le 23 mars 2010 à l’instigation d’Anne-Marie Escoffier et de Yves Détraigne, a ouvert la porte à une éventuelle obligation légale de notification à la Cnil des failles de sécurité (cf. l'article 7, visant à renforcer l'article 34 de la loi informatique et libertés). Si elle venait à se confirmer, cette éventuelle obligation que nous avons baptisé "Amendement ZATAZ" transposerait par anticipation la directive européenne 2002/58/CE concernant la vie privée dans le secteur des communications électroniques.

Découvrez notre rapport dédié aux fuites de données traitées par ZATAZ.COM en 2010.

Mise à jour 17/01/2011 : Le site a été mis en maintenance. La base de données, au format SQL, a été effacée... seulement, le cache Google permet toujours d'accéder aux données des administrés. AUCUNE personne de la mairie de Marseille n'a pris le temps de nous contacter !

Mise à jour 18/01/2011 : La société ACOMZ a pris en charge la correction du problème. L'ensemble des données ont été effacées du web (du serveur du site Marseillais et de Google). Il est a noter l'efficacité et la rapidité d'ACOMZ sur ce cas. Ils nous ont contacté afin de nous confirmer les actions de sécurisation mises en place.