Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La CNIL émet un avertissement public pour le Parti Socialiste
Suite à une faille de sécurité en ligne qui mettait en péril des données sensibles

Le , par Stéphane le calme

40PARTAGES

5  0 
Après avoir été informé de de l’existence d’une faille de sécurité entraînant une fuite de données sur le site du Parti Socialiste le 26 mai 2016 par l’éditeur du site « zataz.com » , la Commission Nationale Informatique et Liberté a lancé un contrôle en ligne le lendemain. Elle a indiqué avoir constaté que les mesures garantissant la sécurité et la confidentialité des données des primo-adhérents du PS étaient insuffisantes.

La CNIL explique que ses contrôleurs ont pu accéder librement, par la saisie d’une URL, à la plateforme de suivi des primo-adhésions au Parti Socialiste effectuées en ligne. Ils ont eu accès à un répertoire du nom de domaine « parti-socialiste.fr » contenant plusieurs fichiers classés sous un onglet « Adhésion », lui-même divisé en plusieurs sous-onglets intitulés « en attente de traitement », « adhésion non finalisée » et « adhésion transmise ».La délégation a constaté qu’il était possible d’exporter les éléments suivants au format CSV : nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation de certains adhérents..

La Commission explique que cette faille avait été rendue possible par l’utilisation d’une technique non sécurisée d’authentification à la plateforme et qu’elle a concerné plusieurs dizaines de milliers de primo-adhérents. La CNIL a donc entrepris d’alerter le PS qui a immédiatement pris les mesures nécessaires pour y mettre fin.

Cependant, cette alerte a quand même donné lieu à un second contrôle qui a été réalisé 15 juin 2016 cette fois-là dans les locaux du PS : l’objectif était de comprendre les raisons de cette faille de sécurité. Ce contrôle a permis de révéler que les bonnes pratiques en matière de sécurité et de protection des données personnelles n’étaient pas respectées dès le départ. La CNIL affirme par exemple qu’il n’existait pas de procédure d’authentification forte au site ni de système de traçabilité permettant notamment d’identifier l’éventuelle exploitation malveillante de la faille.

Le contrôle a également permis de constater que le PS conservait sans limitation de durée les données personnelles de la plateforme, ce qui avait accru la portée de la fuite de données. La base active contenait des demandes d’adhésion effectuées depuis 2010 qui auraient dû a minima être stockées en archive.

Suite à ces informations, la Présidente de la CNIL a décidé d’engager une procédure de sanction en désignant un rapporteur. La formation restreinte de la CNIL a opté pour un avertissement public car elle a estimé que le Parti Socialiste avait manqué à ses obligations :
  • de veiller à la sécurité des données à caractère personnel des primo-adhérents, en méconnaissance de l’article 34 de la loi Informatique et Libertés (qui dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès) ;
  • de fixer une durée de conservation des données proportionnelle aux finalités du traitement en méconnaissance de l’article 6-5 de la loi Informatique et Libertés (qui prévoit que les données à caractères personnelles sont conservées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées).

Le PS échappe ainsi à une sanction pécuniaire.

Source : annonce CNIL, délibération de la CNIL (au format PDF)

Voir aussi :

La CNIL délivre son premier label « coffre-fort numérique », gage d'un haut niveau de sécurité et de qualité en matière de stockage de données

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de SQLpro
Rédacteur https://www.developpez.com
Le 30/10/2016 à 17:45
Pour avoir travaillé un temps à dans l'économie sociale (parti politiques, syndicats, mutuelles, CE...) je peut vous dire que ce monde là est généralement extrêmement peu sécurisé sur le plan informatique, car eu lieu de faire appel à des professionnels ont fait appel à des petits copains, qui s'en mettent plein la poche (voir l'affaire bygmalion...) ou n'ont aucune idée des règles de l'art à appliquer...

Il y aurait fort à dire sur les plan de l'informatique ce chacun des partis politiques, raison pour laquelle je vous conseille de ne pas adhérer à aucun parti, à moins que le fait que votre patron ou votre cop(a)in(e) soit au courant de votre engagement politique vous laisse indifférent !

A +
2  0 
Avatar de Xjames56X
Nouveau membre du Club https://www.developpez.com
Le 28/10/2016 à 8:00
Ouais fin, utiliser "POST" a la place de "GET" ça fais pas tout...
1  0 
Avatar de earhater
Membre éclairé https://www.developpez.com
Le 28/10/2016 à 11:20
Citation Envoyé par Rapmerd3ur Voir le message
De quoi parlez-vous ? Si c'est pour dire n'importe quoi, abstenez-vous.
je suppose que cette personne disait que la qualification de sécurité retournée par la CNIL a été corrigé d'une requête POST vers une requête GET. Comme ça la CNIL est contente (vu qu'elle ne voit plus le problème) mais que la sécurité est toujours inexistante
1  0 
Avatar de ManusDei
Expert confirmé https://www.developpez.com
Le 31/10/2016 à 11:47
Je me suis un poil renseigné vis-à-vis de mon parti (MoDem), le fichier des adhérents n'est pas sur le site (il n'est accessible qu'en local en fait, on reçoit la partie qui nous concerne par mail), et le site d'adhésion utilise une connexion sécurisée par "tls 1.2 aes_128_gcm ecdhe rsa P-256" d'après mon navigateur.

Ca vaut quoi question sécurité ? C'est bien ou pas ?
0  0 
Avatar de Rapmerd3ur
Inactif https://www.developpez.com
Le 28/10/2016 à 10:27
Citation Envoyé par Xjames56X Voir le message
Ouais fin, utiliser "POST" a la place de "GET" ça fais pas tout...
De quoi parlez-vous ? Si c'est pour dire n'importe quoi, abstenez-vous.
0  7