Fuite d’informations pour le site demande-logement-social.gouv.fr

Posted On 25 Oct 2016

Tag: alerte, données, filoutage, fuite, hameçonnage, id, protocole, site, zataz

Il y a des fuites de données qui me font froid dans le dos. La fuite d’informations ayant touché le site Internet demande-logement-social.gouv.fr en fait parti. Il était possible d’accéder à des centaines de milliers de données de Français à la recherche d’un logement social.

Fuite d’informations via une image, c’est possible ! Le site Internet demande-logement-social.gouv.fr est un espace web étatique. Il permet d’enregistrer une demande de logement social. Un site pratique. Il offre la possibilité de recevoir un « numéro unique d’enregistrement » qui sera rendue disponible aux organismes de logement social. Des associations et entreprises étatiques disposant de logements sur les communes recherchées. Bref, le public concerné est fragile, proie facile pour des escrocs du 2.0.

Alors que j’écrivais un article pour un organe de presse ne concernant pas l’informatique et la sécurité numérique… mon expérience dans ce petit monde m’a permis de constater une fuite de données étonnante. Elle m’a donné froid dans le dos. Non pas en raison de la difficulté machiavélique qu’il faut utiliser pour mettre la main sur les centaines de milliers de données privées et sensibles de français concernés, mais plutôt, justement, en raison des contenus accessibles via… une simple adresse Internet.

Fuite d’informations : mais c’est quoi ce « truc » ?

Le portail demande-logement-social.gouv.fr permet de déposer une demande de logement social en ligne. Pour ce faire, il faut fournir son identité, son adresse et des documents tels que la pièce d’identité, l’avis d’imposition, les bulletins de salaire, etc. Bref, des justificatifs qui peuvent particulièrement intéresser les escrocs et autres adeptes du black market. De l’usurpation d’identité clé en main en quelque sorte.

Lorsqu’un demandeur téléchargeait un justificatif sur le site, le fichier source (Carte d’id, fiche de paie…) est transformé au format PDF. Un document stocké sur les serveurs même du portail. Déjà se dire que le site est utilisé aussi comme un cloud, ça fait peur ! Mais la suite, va vous faire passer l’épisode 1 de la saison 7 de Walking Death pour un « Oui-Oui à la plage ». Après son téléchargement, le demandeur de logement social avait la possibilité de vérifier sa fourniture de document. Pour cela, demande-logement-social.gouv.fr affichait une miniature et un lien de téléchargement du justificatif en question. Vous commencez à le voir pointer le Negan qui sommeille dans cette fuite de données ?

La faille, qui a été corrigée très rapidement après un protocole d’alerte de ZATAZ à destination de l’ANSSI et du Ministère en question, se situait au niveau d’un paramètre d’identification. Il correspondait alors à l’ID unique du justificatif téléchargé dans la base de données du portail. Bref, si demande-logement-social.gouv.fr/123456 [url exemple pour l’explication, il ne s’agissait pas de celui-ci, NDR] affichait le document officiel d’un demandeur, il suffisait de modifier le chiffre (l’incrémenter ou le décrémenter) demande-logement-social.gouv.fr/123457 ; demande-logement-social.gouv.fr/123458 ; demande-logement-social.gouv.fr/123459 ; … pour accéder à d’autres informations. Des données sensibles et privées appartenant à d’autres demandeurs de logements sociaux.

De quoi créer de faux documents !

Pour finir, plusieurs centaines de milliers de dossiers ont été déposés depuis l’ouverture du portail, début 2015. Comme déjà indiqué, une fois l’alerte lancée par le protocole d’alerte de ZATAZ, la fuite a été corrigée très rapidement. Malheureusement, je peux penser que des justificatifs extrêmement confidentiels ont pu être téléchargés par un malveillant durant ce laps de temps.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.