avertissement

Avertissement de la CNIL à l’encontre du Parti Socialiste

La Commission nationale de l’informatique et des libertés (Cnil) met un avertissement public au Parti Socialiste à la suite d’une alerte du Protocole de ZATAZ.

Avertissement – Souvenez-vous, nous sommes en mai 2016. Je fais des pieds et des mains pour me faire entendre auprès du Parti Socialiste. A l’époque, je recherchais un interlocuteur du Parti Socialiste. La personne qui devait permettre la correction d’une fuite de données concernant le site Internet du groupe politique. Service Presse, administrateur, élus… Je vais être obligé de passer par la CNIL. La grande dame va me permettre d’être entendu. La CNIL va faire disparaitre une possibilité malveillante. La fuite donnait accès aux nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation de milliers d’adhérents du PS.

Deux contrôles, un avertissement !

Jeudi 27 octobre, la Commission nationale de l’informatique et des libertés a diffusé un avertissement public au Parti socialiste au sujet de cette fuite qui avait concerné « plusieurs dizaines de milliers d’adhérents […] Cette faille avait été rendue possible par l’utilisation d’une technique non sécurisée d’authentification à la plateforme« . Pour la petite histoire, un lien, un simple lien dont le contenu avait été modifié [siteweb.fr/123456 pouvait se modifier par siteweb.fr/123457]. La Commission avait constaté que « les mesures élémentaires de sécurité n’avaient pas été mises en œuvre » par le Parti Socialiste. Au lendemain du contrôle de la Commission effectué le 26 mai, le PS avait, enfin, « pris les mesures nécessaires pour y mettre fin« .

Un second contrôle réalisé cette fois dans les locaux du PS le 15 juin 2016, destiné à comprendre les raisons de la faille, a permis de constater que les mesures élémentaires de sécurité n’avaient pas été mises en œuvre initialement.

En effet, il n’existait pas de procédure d’authentification forte au site ni de système de traçabilité permettant notamment d’identifier l’éventuelle exploitation malveillante de la faille.

Ensuite, le contrôle a aussi permis de constater que le PS conservait sans limitation de durée les données personnelles de la plateforme, ce qui avait accru la portée de la fuite de données. La base active contenait des demandes d’adhésion effectuées depuis 2010 qui auraient dû a minima être stockées en archive.

Avertissement : Un pirate ne vous alertera pas… lui !

Le plus inquiétant dans cette affaire, et ils ne sont pas les seuls, le mutisme et l’arrogance des interlocuteurs dès qu’il s’agit de sécurité informatique, de fuite de données. Un état d’esprit du « Cela n’arrive qu’aux autres » ; « Je ne suis pas concerné » ; « Je suis sécurisé, ne venez pas m’ennuyer« . Faut-il rappeler qu’un pirate ne vous alertera pas… lui !

Avec le sérieux du Protocole d’Alerte de ZATAZ, cela passe plus vite, il faut dire aussi que les outils que j’ai mis en place depuis plus de 20 ans, dont l’aide de la CNIL/ANSSI/…, permettent de faire réagir vite et bien dans la majorité des cas. En 20 ans, ZATAZ a pu aider plus de 60 000 entreprises, bénévolements.

Malheureusement, j’imagine aussi le nombre d’internautes humiliés par ces sociétés, ces administrateurs arrogants. Des internautes cyber-citoyens, qui ont voulu aider mais qui ont été rejetés. Des « hackers » peuvant rapidement devenir des pirates, par vengeance, par frustration.

En conclusion, pensez-y, une écoute bienveillante, humaine, solidaire, et un merci, sont pourtant si faciles !

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (16) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Médaille d'argent du 1er CTF Social Engineering Canadien, en 2023, lors du HackFest de Québec. Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.