Fuite de données pour un site de l´UMP

Publié le 24-02-2011 à 01:07:55 dans le thème Réseau - Sécurité

Pays : France - Auteur : Damien Bancal

Pub : Tous les antivirus gratuits pour protéger et nettoyer votre ordinateur

Note des lecteurs: 3.1/5

Un des sites Internet de la galaxie web de l´UMP laisse en accès libre des centaines d´informations privées d´adhérents. Numéros de téléphone, identités, adresses postales, cotisations, numéro d'adhérents, ... le site Internet de la section 64 4 de l'UMP, le parti politique au pouvoir en France, laisse accessible depuis au moins 8 mois des données sensibles et privées appartenant à des membres de la section Viennoise du groupe de pensée de Nicolas Sarkozy. Les administrateurs du site ont été contactés par courrier électronique, via notre protocole d'alerte [HaideD 758], et cela depuis le début du mois de janvier 2011. ZATAZ.COM a pu constater que plus d'un mois après notre alerte, les informations privées et sensibles sont toujours accessibles. D'autres données sont mêmes venues se rajouter depuis. Bref, voilà ce qui arrive à force de penser que l'on peut tout stocker sur un serveur web.

Une affaire, sur le papier, qui peut coûter cher au fautif. La loi informatique et liberté (CNIL) punit ce type de fuite d'informations nominatives d'une sanction pouvant atteindre 5 ans d'emprisonnement et 300 000 € d'amende (art. 226-17 du code pénal). La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende. (art. 226-22 du code pénal). Il suffirait qu'un seul "adhérent" inclus dans cette liste dépose plainte, auprès de la CNIL.

En matière de fuite de données, nombre de pays dans le monde ont fait le choix de la transparence et de faire en sorte que les entreprises déclarent leurs pertes de données. Ce concept de « Data Breach Notification » venu des États-Unis et dont se sont inspirés à divers degrés le Royaume-Uni, l’Allemagne, mais aussi l’Autriche, la Lituanie, l’Estonie et la République Tchèque, intéresse autant qu’il inquiète. En France, pour le moment, le projet de loi publié le 23 mars 2010 à l’instigation d’Anne-Marie Escoffier et de Yves Détraigne, a ouvert la porte à une éventuelle obligation légale de notification à la Cnil des failles de sécurité (cf. l'article 7, visant à renforcer l'article 34 de la loi informatique et libertés). Si elle venait à se confirmer, cette éventuelle obligation que nous avons baptisé "Amendement ZATAZ" transposerait par anticipation la directive européenne 2002/58/CE concernant la vie privée dans le secteur des communications électroniques. Mais, à première vue, la loi ne semble pas être prévue pour le moment. Au grand bonheur des "fuiteurs", mais pour le plus grand malheur des internautes Français, victimes de plus en plus nombreuses des fuites de données.

En 2010, ZATAZ a aidé, via son protocole d'alerte, 1 589 entreprises, associations et particuliers Français. Près de 500 millions de données ont pu être protégées grâce à l'intervention de la communauté (lecteurs, amis, ...) de ZATAZ.COM. [Lire notre rapport 2010]. A noter que nos interventions ont été récompensées, pour la troisième fois, par Microsoft et son Microsoft Security Response Center. Pour le mois de janvier nous étions déjà à 203 alertes [Faire un don pour soutenir l'action du protocole d'alerte de ZATAZ.COM].

Mise à jour : Le siége national de l'UMP a pris en main l'affaire assez rapidement. Le service "informatique" de l'UMP a contacté le siége de la Fédération de la Vienne. Le site "fuiteur" a été rapidement mis hors service. Les fichiers, un backup d'une base de données SQL et plusieurs documents Excel. Ils étaient accessibles, via le moteur de recherche Google (liens directs et cache).

Julien Garderon, collaborateur d'Olivier Chartier, Président de l'UMP Vienne et Conseiller régional nous a précisé ceci "Le blog de la quatrième circonscription, (...) et indépendant de la Fédération, a mis en ligne sur une partie, normalement restreinte, plusieurs fichiers récents d'adhérents. La confidentialité/sécurité de cette partie n'a pu être assurée et vous avez pu obtenir ces fichiers. La Fédération a contacté le webmestre du site « de la 4e » pour comprendre comment cela a pu se produire. Ce site a été mis en hors ligne de manière temporaire, les données incriminées sont actuellement en cours de suppression. Nous sommes également en lien avec le siège pour rétablir correctement la confidentialité et la sécurité des données. Nous regrettons cet incident et nous serons vigilants pour éviter qu'il ne se reproduise."