Fuite de données pour le site e-enfance

CV, documents judiciaires, captures écrans … le site de l’association e-enfance ne protégeait pas les données envoyées par des adultes et enfants harcelés.

Jeudi 8 novembre 2018 se tenait en France la journée de lutte contre le cyber-harcèlement. Un rendez-vous important tant le phénomène est loin d’être négligeable. 6% des jeunes français auraient été confrontés à du cyber harcèlement.

A ma petite échelle, en 2018, j’ai rencontré 4 000 élèves de primaires, collèges et lycées lors de conférences / ateliers dédiés à l’identité, réputation et les itinérances numériques. 296 adolescentes avaient été visées par un MMS à caractère pornographique. 92% ne savent pas effacer une vieille information diffusées. 89% ont avoué avoir eu des propos inappropriés (79% ont ragequit au moins une fois dans un jeu vidéo en mode dictionnaire à insultes.). Je vous laisse découvrir d’autres chiffres ICI tirés de mes rencontres.

Bonjour @eenfance ! Je viens de vous envoyer un mail urgent ! #cybersecurite #TousSecNum #RGPD pic.twitter.com/1a3y2FTRfP

— Damien Bancal (@Damien_Bancal) November 8, 2018

Oups !

E-Enfance indique que ses professionnels interviennent toute l’année, dans toute la France, dans les établissements scolaires et auprès des parents et professionnels. Des équipes formées, encadrées et qualifiées pour intervenir et s’adapter à chaque public. Seulement, il y a eu comme un grain de sable dans le rouage. Le site Internet e-enfance.org fuitait des dizaines de données personnelles et pour certaines très sensibles.

Des curriculum-vitae (psychologue, sociologue, secrétaire, …), des documents judiciaires comme une plainte à l’encontre d’un harceleur selon le document accessible, de très nombreuses captures écrans tirées de réseaux sociaux (avec pseudos, identités). Des documents sauvegardés sur le site e-enfance en raison de la mauvaise configuration d’un plug-in dédié à la réception des courriels envoyés par des internautes et à l’attention de l’association.

Alertée par courriel et Twitter, l’association a répondu en quelques minutes. Les informations ont été effacées dans l’heure de l’alerte. Certaines des données personnelles sont concernées par le Règlement général sur la protection des données (RGPD). Les victimes seront alertées par l’association.

A ma connaissance, cette possibilité d’interception n’était pas connue par des pirates. Le Service Veille de ZATAZ n’a pas aperçu d’informations concernant cette possibilité de fuite dans le black market et autres espaces pirates surveillés par ZATAZ.