Avertissement de la CNIL à l’encontre du Parti Socialiste

La Commission nationale de l’informatique et des libertés (Cnil) met un avertissement public au Parti Socialiste à la suite d’une alerte du Protocole de ZATAZ.

Avertissement – Souvenez-vous, nous sommes en mai 2016. Je fais des pieds et des mains pour me faire entendre auprès du Parti Socialiste. A l’époque, je recherchais un interlocuteur du Parti Socialiste. La personne qui devait permettre la correction d’une fuite de données concernant le site Internet du groupe politique. Service Presse, administrateur, élus… Je vais être obligé de passer par la CNIL. La grande dame va me permettre d’être entendu. La CNIL va faire disparaitre une possibilité malveillante. La fuite donnait accès aux nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation de milliers d’adhérents du PS.

La CNIL fait corriger une fuite de données sur le site du Parti Socialiste.https://t.co/2wu1cnWx21 pic.twitter.com/DgJH3xtZMN

— ZATAZ.COM Officiel (@zataz) May 31, 2016

Deux contrôles, un avertissement !

Jeudi 27 octobre, la Commission nationale de l’informatique et des libertés a diffusé un avertissement public au Parti socialiste au sujet de cette fuite qui avait concerné « plusieurs dizaines de milliers d’adhérents […] Cette faille avait été rendue possible par l’utilisation d’une technique non sécurisée d’authentification à la plateforme« . Pour la petite histoire, un lien, un simple lien dont le contenu avait été modifié [siteweb.fr/123456 pouvait se modifier par siteweb.fr/123457]. La Commission avait constaté que « les mesures élémentaires de sécurité n’avaient pas été mises en œuvre » par le Parti Socialiste. Au lendemain du contrôle de la Commission effectué le 26 mai, le PS avait, enfin, « pris les mesures nécessaires pour y mettre fin« .

Un second contrôle réalisé cette fois dans les locaux du PS le 15 juin 2016, destiné à comprendre les raisons de la faille, a permis de constater que les mesures élémentaires de sécurité n’avaient pas été mises en œuvre initialement.

En effet, il n’existait pas de procédure d’authentification forte au site ni de système de traçabilité permettant notamment d’identifier l’éventuelle exploitation malveillante de la faille.

Ensuite, le contrôle a aussi permis de constater que le PS conservait sans limitation de durée les données personnelles de la plateforme, ce qui avait accru la portée de la fuite de données. La base active contenait des demandes d’adhésion effectuées depuis 2010 qui auraient dû a minima être stockées en archive.

Avertissement : Un pirate ne vous alertera pas… lui !

Le plus inquiétant dans cette affaire, et ils ne sont pas les seuls, le mutisme et l’arrogance des interlocuteurs dès qu’il s’agit de sécurité informatique, de fuite de données. Un état d’esprit du « Cela n’arrive qu’aux autres » ; « Je ne suis pas concerné » ; « Je suis sécurisé, ne venez pas m’ennuyer« . Faut-il rappeler qu’un pirate ne vous alertera pas… lui !

Avec le sérieux du Protocole d’Alerte de ZATAZ, cela passe plus vite, il faut dire aussi que les outils que j’ai mis en place depuis plus de 20 ans, dont l’aide de la CNIL/ANSSI/…, permettent de faire réagir vite et bien dans la majorité des cas. En 20 ans, ZATAZ a pu aider plus de 60 000 entreprises, bénévolements.

Malheureusement, j’imagine aussi le nombre d’internautes humiliés par ces sociétés, ces administrateurs arrogants. Des internautes cyber-citoyens, qui ont voulu aider mais qui ont été rejetés. Des « hackers » peuvant rapidement devenir des pirates, par vengeance, par frustration.

En conclusion, pensez-y, une écoute bienveillante, humaine, solidaire, et un merci, sont pourtant si faciles !