La CNIL fait corriger une fuite de données dans un outil utilisé par des mairies

Posted On 02 Sep 2016

Tag: données, écoles, enfants, fuite, mairies, parents

Fuite de données – C’est la rentrée scolaire ! De nombreuses communes de France proposent le Portail famille, un espace dédié aux modes d’accueils de votre enfant et à la facilité de vos démarches administratives. Sauf que ce portail fuitait. La CNIL est intervenue après l’alerte de ZATAZ. Le trou a été bouché dans la seconde.

Fuite de données pour la rentrée ? Plusieurs communes Françaises comme Montigny-le-Bretonneux, Sannois… utilisent l’outil « Portail Famille » d’Agora+. Cette excellente application web est à la disposition des familles dont les enfants sont inscrits en début d’année dans l’un des services municipaux d’une commune : école primaire, maternelles, accueils de loisirs, école de musique, restauration scolaire … Comme l’explique la Ville de Sannois, le Portail Famille donne « la possibilité de réserver, de consulter vos factures en ligne ou modifier vos données personnelles« .

Bref, plus de contrainte de vous déplacer en mairie pour vous acquittez de vos factures et autres déclarations scolaires et périscolaires. Sauf que… durant plusieurs semaines, l’outil fuitait les informations des parents et de leurs enfants.

Plusieurs lecteurs de ZATAZ se sont inquiétés de pouvoir accéder aux données de familles, des informations autres que leurs propres dossiers. Après s’être identifiés, les parents pouvaient tout simplement changer le numéro d’identifiant les concernant, bref ID=01 pouvait se transformer en ID=02, ID=03…

Et pas besoin d’être un génie de l’informatique pour la jouer NSA et espionner son prochain avec un tel bug. « En changeant le chiffre, m’explique Anne-Lyse, j’accède aux fiches d’enfants qui ne sont pas les miens« . Dans la foulée, d’autres modifications enfantines sur l’URL permettaient « de visualiser des informations concernant les parents » confirme Jérôme.

Fuite de données très rapidement corrigée

Ni une, ni deux, le Protocole ZATAZ s’est mis en marche. Comme vous le savez, je travaille avec la CNIL au sujet de ce genre de fuite concernant plus qu’une entreprise ou une administration. Ici, la fuite aurait pu être conséquente, elle visait des collectivités, des administrés, des enfants, des données privées et sensibles. La CNIL saisie, l’entreprise a corrigé le problème très rapidement. « Dès que nous avons été informés, ma confirmé le responsable de la société, nous avons corrigé et patché. » Heureusement pour les utilisateurs, le Protocole d’Alerte de ZATAZ aura été plus rapide que les malveillants avides de données.

Fuite de données : des infos qui valent de l’or

Comme je peux vous le démontrer malheureusement très souvent, les données d’un « simple » particulier valent de l’or. Prenons l’exemple d’une fuite concernant le numéro de téléphone portable, le mail et l’adresse physique d’une personne. Bref, des informations que nous diffusons un peu partout dans les fichiers que l’on nous impose de remplir. Dans le black market, comme je peux vous le montrer, un listing de numéros [+5000] de téléphones portables peut se commercialiser [moyenne constatée ce 02 septembre dans 4 boutiques du Dark Web] 42 euros. L’intérêt d’une telle base de données [BDD] ? Si je vous parle de Ping Call, de spam SMS, de faux appels vous proposant à rappeler une ligne surtaxée, de diffusion de malware, de phishing ? Vous commencez à mieux comprendre pourquoi votre numéro de portable vaut de l’or ? Bref, la même utilisation malveillante pour votre adresse électronique.

En ce qui concerne l’adresse physique, de nombreuses personnes me demandent lors de mes conférences l’intérêt de collecter des adresses physiques. Dans le petit monde du black market, la recherche de DropBox [rien à voir avec le logiciel éponyme, NDR] est une priorité pour ceux qui veulent blanchir de l’argent volé en se faisant envoyer des colis [high-tech, produits de luxe…] Des colis qui n’arriveront pas au domicile du voyou, mais à une adresse physique qu’ils considéreront comme pratique, facile d’utilisation, tranquille et anonyme. Bref, un pirate se fait livrer plusieurs téléphones acquis avec des données bancaires piratées. Une livraison dont l’adresse DropBox… est la votre ! Bon courage pour vous expliquer auprès des autorités qui pourraient être saisies d’une plainte pour vol !

Pour rappel, dès mai 2018, ce genre de fuite de données devra être communiquée à la CNIL ainsi qu’aux personnes concernées. Un petit audit aujourd’hui, vaudra mieux qu’une grosse claque demain. Imaginez, vous avez 50.000 clients dont les informations ont fuité, ont été piratées, perdues… Il vous faudra alerter votre petit monde dans les 72 heures via un recommandé avec accusé réception, soit 9€ X 50.000. Je vous laisse faire l’addition !

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (16) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Médaille d'argent du 1er CTF Social Engineering Canadien, en 2023, lors du HackFest de Québec. Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.