Fuite de données privées et personnelles corrigée pour la ligue de lutte contre le cancer
ZATAZ fait corriger une fuite d’informations privées et personnelles via le site web de la Ligue de lutte contre le cancer. Un pirate aurait pu mettre en place des escroqueries ciblées avec les données oubliées sur le site.
Mais que diable ce fichier faisait-il sur le site web de la Ligue nationale contre le cancer ? Cette entité française est une association créée 1918 par Justin Godart. Elle a été reconnue d’utilité publique voilà un siècle, en novembre 1920.
Lors d’une recherche quotidienne de fuite de données ayant fini dans les mains de pirates informatiques, quelle ne fût pas ma surprise de tomber nez-à-nez avec une base de données pas comme les autres. Je suis arrivé à cette dernière en tapant quelques commandes « dork » que venait de diffuser un pirate Brésilien, dans un forum privé, accessible dans le darknet.
À première vue, le pirate n’avait pas encore pleinement exploité les commandes. Avec quelques petites modifications, Google, mais aussi Qwant ou encore DuckDuckGo, vont me proposer de télécharger un document comptable, directement disponible sur le site web de la Ligue. Au départ, je pensais à un fichier permettant de faire un don. Le contenu me fera clairement changer d’avis sur la finalité de ce fichier. Je le découvrirai via un quatrième moteur de recherche que je ne citerai pas ici. Ce dernier va m’afficher les colonnes du document comptable dédié aux donateurs.
Informations privées des donateurs !
Le document reprend l’intégralité des informations de plusieurs centaines de donateurs, durant le mois de mai 2017. Les identités complètes, les adresses postales, les adresses électroniques, les dates de naissance, les numéros de transaction et d’autorisation, le montant versé. Autant dire qu’il ne faut pas être un génie du crime numérique pour comprendre que derrière les mails de donateurs ayant versé plus de 10 000€, il y a une bonne âme à plumer.
Trois ans sur la toile, sans que personne ne s’en aperçoive, ne s’en soucie… sauf votre serviteur. Espérons qu’il n’existait pas d’autres fichiers, pour d’autres mois et années.
Pour faire disparaître cette fuite, cela aura été la croix et la bannière. Le premier courriel d’alerte est envoyé à la Ligue, à la CNIL et au Ministère des affaires sociales le 19 mai 2020. Pour La Ligue, via les courriels webmaster et communication. La CNIL, via une nouvelle adresse. Après plus de 15 ans, me voici avec une adresse totalement impersonnelle. On ne sait pas à qui on écrit. Certainement à la poubelle !
Pour le ministère, comme à son habitude, une réponse à l’alerte en quelques minutes.
Je ne recevrai aucune réponse de la Ligue et de la CNIL.
Ne souhaitant pas laisser cette association dans l’ignorance, et ses donateurs face à un danger potentiel loin d’être négligeable, je lance un Tweet le 20 mai. Toujours aucune réponse. Il faudra attendre le 22 mai pour avoir une prise de contact. Il m’est demandé de fournir les informations, en privé, sur le réseau social !
Bonjour @laliguecancer ! Un courriel (service comm', …) vous a été adressé concernant un problème numérique. Aucune réponse.
— Damien Bancal (@Damien_Bancal) May 20, 2020
Le 26 mai, je recevrai enfin un commentaire rassurant par courriel. Le petit oiseau bleu m’ayant permis de recevoir l’adresse d’une communicante locale via ce fameux DM proposé 6 jours après mon premier contact : « Je vous remercie pour votre alerte ! Je vais en parler à notre agence web afin qu’ils puissent résoudre ce problème au plus vite. » !
Deux jours plus tard… les données étaient enfin effacées !
Le Règlement Général de la Protection des Données personnelles (RGPD) implique que La Ligue doit alerter l’ensemble des donateurs. La question est de savoir si d’autres fichiers étaient présents, courant sur d’autres mois et années. Je n’ai rien vu dans les espaces pirates que je surveille, mais malheureusement, cela ne veut pas dire que des pirates n’ont jamais eu accès aux informations avant que j’en découvre l’existence !
Le Protocole d’alerte ZATAZ s’approche gentiment des 72 000 alertes bénévoles, en plus de 25 ans, auprès d’entités privées, publiques, associatives francophones.