Fuite d’informations pour le site demande-logement-social.gouv.fr

Il y a des fuites de données qui me font froid dans le dos. La fuite d’informations ayant touché le site Internet demande-logement-social.gouv.fr en fait parti. Il était possible d’accéder à des centaines de milliers de données de Français à la recherche d’un logement social.

Fuite d’informations via une image, c’est possible ! Le site Internet demande-logement-social.gouv.fr est un espace web étatique. Il permet d’enregistrer une demande de logement social. Un site pratique. Il offre la possibilité de recevoir un « numéro unique d’enregistrement » qui sera rendue disponible aux organismes de logement social. Des associations et entreprises étatiques disposant de logements sur les communes recherchées. Bref, le public concerné est fragile, proie facile pour des escrocs du 2.0.

Alors que j’écrivais un article pour un organe de presse ne concernant pas l’informatique et la sécurité numérique… mon expérience dans ce petit monde m’a permis de constater une fuite de données étonnante. Elle m’a donné froid dans le dos. Non pas en raison de la difficulté machiavélique qu’il faut utiliser pour mettre la main sur les centaines de milliers de données privées et sensibles de français concernés, mais plutôt, justement, en raison des contenus accessibles via… une simple adresse Internet.

Fuite d’informations : mais c’est quoi ce « truc » ?

Le portail demande-logement-social.gouv.fr permet de déposer une demande de logement social en ligne. Pour ce faire, il faut fournir son identité, son adresse et des documents tels que la pièce d’identité, l’avis d’imposition, les bulletins de salaire, etc. Bref, des justificatifs qui peuvent particulièrement intéresser les escrocs et autres adeptes du black market. De l’usurpation d’identité clé en main en quelque sorte.

Lorsqu’un demandeur téléchargeait un justificatif sur le site, le fichier source (Carte d’id, fiche de paie…) est transformé au format PDF. Un document stocké sur les serveurs même du portail. Déjà se dire que le site est utilisé aussi comme un cloud, ça fait peur ! Mais la suite, va vous faire passer l’épisode 1 de la saison 7 de Walking Death pour un « Oui-Oui à la plage ». Après son téléchargement, le demandeur de logement social avait la possibilité de vérifier sa fourniture de document. Pour cela, demande-logement-social.gouv.fr affichait une miniature et un lien de téléchargement du justificatif en question. Vous commencez à le voir pointer le Negan qui sommeille dans cette fuite de données ?

La faille, qui a été corrigée très rapidement après un protocole d’alerte de ZATAZ à destination de l’ANSSI et du Ministère en question, se situait au niveau d’un paramètre d’identification. Il correspondait alors à l’ID unique du justificatif téléchargé dans la base de données du portail. Bref, si demande-logement-social.gouv.fr/123456 [url exemple pour l’explication, il ne s’agissait pas de celui-ci, NDR] affichait le document officiel d’un demandeur, il suffisait de modifier le chiffre (l’incrémenter ou le décrémenter) demande-logement-social.gouv.fr/123457 ; demande-logement-social.gouv.fr/123458 ; demande-logement-social.gouv.fr/123459 ; … pour accéder à d’autres informations. Des données sensibles et privées appartenant à d’autres demandeurs de logements sociaux.

De quoi créer de faux documents !

Pour finir, plusieurs centaines de milliers de dossiers ont été déposés depuis l’ouverture du portail, début 2015. Comme déjà indiqué, une fois l’alerte lancée par le protocole d’alerte de ZATAZ, la fuite a été corrigée très rapidement. Malheureusement, je peux penser que des justificatifs extrêmement confidentiels ont pu être téléchargés par un malveillant durant ce laps de temps.