Fuite de données de contrats d’intérim pour une filiale Manpower

Fuite de données : plusieurs milliers de contrats de « mission temporaire » accessibles sur le site d’une filiale de Manpower Groups.

Des fuites de données, depuis 25 ans que ZATAZ existe, j’en ai vu passer. A chaque fois je me dis : « Mais ce n’est pas possible cette fuite de données !!? ». Un internaute lecteur m’a contacté, en mars, pour m’indiquer une fuite d’informations concernant son épouse.

Cette dernière venait de s’inscrire sur le site Supplay, un spécialiste de l’intérim. Une entreprise spécialisée dans le travail temporaire, l’intérim, et autres contrats CDD et CDI. Une filiale de Manpower group. Plusieurs milliers d’offres d’emploi, 148 agences en France et plus de 450 000 missions d’intérim par an.

Après s’être inscrite sur le portail, et accepter une mission, Supplay a proposé à son utilisatrice de récupérer, en mode numérique, son contrat de mission temporaire. Un PDF qu’il suffit d’imprimer ou de stocker sur un disque dur. Pour rappel, la sauvegarde de ce genre d’informations doit se faire sur un disque dur externe, débranché de l’ordinateur une fois son office de sauvegarde effectué.

1, 2, 3, 4, 5 …

Mais revenons à ce fameux PDF. L’adresse web proposé pour télécharger ce contrat était sous la forme : « supplay.fr/xxxxxxxcontrat=seriedechiffres« . Les plus fidèles de ZATAZ ont déjà les yeux qui brillent en comprenant le problème. Il suffisait de changer le numéro de contrat proposé dans l’adresse web pour accéder aux documents personnels des autres utilisateurs de la plateforme d’emploi.

Plus dramatique à mes yeux, il n’était pas utile d’être inscrit chez Supplay pour mettre la main sur les informations sensibles. Il suffisait de posséder l’adresse web, l’url (qui se trouve sur Google, NDR) pour accéder aux informations. Un simple script en python aurait pu permettre à un malveillant de collecter des centaines de milliers d’informations : identités, mails, téléphones, adresses, Matricule, numéro de sécurité social, date de naissance, titre de travail, …

Fuite de données : Veille, espionnage et outil pour fraudeurs

Plus sensible encore, les motifs de la mission et la justification de ce recours, l’intérimaire. Surveiller ces documents aurait pu permettre de découvrir pourquoi telle ou telle entreprise a besoin de personnels supplémentaires. Savoir que l’entreprise X a passé un contrat avec un grand groupe est une information très sensible dans un monde en perpétuelle guerre économique. Et je ne vous parle même pas des amateurs de fraudes aux présidents (FoVI) et autres escroqueries pouvant se servir de cette manne de données.

L’espace Internet de Supplay pour les intérimaires existe depuis 2011. La signature électronique des contrats de travail pour les salariés intérimaires, depuis 2014. La CNIL a été saisie le 3 avril : alerte 03042018. La fuite a été corrigée.

Fuite de données punissables par le RGPD

En Europe, le Règlement Général sur la Protection des Données (RGPD) entre en vigueur ce 25 mai 2018. Il renforce les droits relatifs au stockage et au partage des données personnelles des consommateurs.

Malgré cela, deux tiers des français (69%) affirment ne jamais avoir entendu parler de la législation, selon une étude récente de Forgerock.

L’étude révèle le fort besoin d’information sur la façon dont les données personnelles sont gérées et partagées en ligne. Les nouvelles réglementations, telles que le RGPD, visent à redonner au public le contrôle de leurs données, mais il est très clair que les consommateurs ne sont pas conscients de leurs droits et que beaucoup ne se sentent pas maîtres de leur identité numérique. Pour finir, le 26 mai 2018, ce type de fuite sera condamnable par le RGPD. Amende pouvant atteindre 4% du chiffre d’affaires mondial de l’entreprise ; obligation d’alerter les personnes concernées par la fuite. Alerter la CNIL ; posséder un Officier de la Protection des Données (DPO).

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Gagak Reply

    Qu’est-il prévu pour les associations, fédérations qui n’ont pas de CA ?
    Merci d’avance

    • Damien Bancal Reply

      Bonjour,
      Voici ce qu’explique la CNIL :
      -Le Règlement européen sur la protection des données personnelles concerne toutes les structures qui sauvegardent des “données personnelles” ; Dès le 25 mai 2018, l’association doit avoir entrepris des actions nécessaires à la mise en conformité de sa/ses bases de données ; En cas de contrôle, vous devez pouvoir présenter un plan d’action et prouver les premières étapes mises en place pour que l’association soit en conformité ; Les sanctions pourront être pécuniaires et, effectivement, cela impactera le bureau et sa présidence.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.