NIS corriger une fuite de données Infraction de sécurité

Fuite de données privées et personnelles corrigée pour la ligue de lutte contre le cancer

ZATAZ fait corriger une fuite d’informations privées et personnelles via le site web de la Ligue de lutte contre le cancer. Un pirate aurait pu mettre en place des escroqueries ciblées avec les données oubliées sur le site.

Mais que diable ce fichier faisait-il sur le site web de la Ligue nationale contre le cancer ? Cette entité française est une association créée 1918 par Justin Godart. Elle a été reconnue d’utilité publique voilà un siècle, en novembre 1920.

Lors d’une recherche quotidienne de fuite de données ayant fini dans les mains de pirates informatiques, quelle ne fût pas ma surprise de tomber nez-à-nez avec une base de données pas comme les autres. Je suis arrivé à cette dernière en tapant quelques commandes « dork » que venait de diffuser un pirate Brésilien, dans un forum privé, accessible dans le darknet.

À première vue, le pirate n’avait pas encore pleinement exploité les commandes. Avec quelques petites modifications, Google, mais aussi Qwant ou encore DuckDuckGo, vont me proposer de télécharger un document comptable, directement disponible sur le site web de la Ligue. Au départ, je pensais à un fichier permettant de faire un don. Le contenu me fera clairement changer d’avis sur la finalité de ce fichier. Je le découvrirai via un quatrième moteur de recherche que je ne citerai pas ici. Ce dernier va m’afficher les colonnes du document comptable dédié aux donateurs.

Informations privées des donateurs !

Le document reprend l’intégralité des informations de plusieurs centaines de donateurs, durant le mois de mai 2017. Les identités complètes, les adresses postales, les adresses électroniques, les dates de naissance, les numéros de transaction et d’autorisation, le montant versé. Autant dire qu’il ne faut pas être un génie du crime numérique pour comprendre que derrière les mails de donateurs ayant versé plus de 10 000€, il y a une bonne âme à plumer.

Trois ans sur la toile, sans que personne ne s’en aperçoive, ne s’en soucie… sauf votre serviteur. Espérons qu’il n’existait pas d’autres fichiers, pour d’autres mois et années.

Capture écran tirée du cache d’un moteur de recherche ayant repris les informations ! – source: zataz.com

Pour faire disparaître cette fuite, cela aura été la croix et la bannière. Le premier courriel d’alerte est envoyé à la Ligue, à la CNIL et au Ministère des affaires sociales le 19 mai 2020. Pour La Ligue, via les courriels webmaster et communication. La CNIL, via une nouvelle adresse. Après plus de 15 ans, me voici avec une adresse totalement impersonnelle. On ne sait pas à qui on écrit. Certainement à la poubelle !

Pour le ministère, comme à son habitude, une réponse à l’alerte en quelques minutes.

Je ne recevrai aucune réponse de la Ligue et de la CNIL.

Ne souhaitant pas laisser cette association dans l’ignorance, et ses donateurs face à un danger potentiel loin d’être négligeable, je lance un Tweet le 20 mai. Toujours aucune réponse. Il faudra attendre le 22 mai pour avoir une prise de contact. Il m’est demandé de fournir les informations, en privé, sur le réseau social !

Le 26 mai, je recevrai enfin un commentaire rassurant par courriel. Le petit oiseau bleu m’ayant permis de recevoir l’adresse d’une communicante locale via ce fameux DM proposé 6 jours après mon premier contact : « Je vous remercie pour votre alerte ! Je vais en parler à notre agence web afin qu’ils puissent résoudre ce problème au plus vite. » !

Deux jours plus tard… les données étaient enfin effacées !

Le Règlement Général de la Protection des Données personnelles (RGPD) implique que La Ligue doit alerter l’ensemble des donateurs. La question est de savoir si d’autres fichiers étaient présents, courant sur d’autres mois et années. Je n’ai rien vu dans les espaces pirates que je surveille, mais malheureusement, cela ne veut pas dire que des pirates n’ont jamais eu accès aux informations avant que j’en découvre l’existence !

Le Protocole d’alerte ZATAZ s’approche gentiment des 72 000 alertes bénévoles, en plus de 25 ans, auprès d’entités privées, publiques, associatives francophones.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.