Le site « Combien je mérite » avait des fuites

Posted On 21 Sep 2015

Tag: cv, données, facture, fiche de paye, fuite

Le site Combien je mérite, de chez Ametix, laissait fuir les CV qui lui étaient soumis. La fuite est corrigée mais les intéressés n’ont pas été prévenus.

Quoi de plus « sympathique » pour un malveillant du numérique que de tomber sur un nid d’informations privées comme un espace de stockage rempli de curriculum vitae. C’est ce qui aurait pu arriver au site Internet français combienjemerite.com qui propose de déposer son CV afin de connaître « ce que vous valez sur le marché« . Plusieurs centaines d’hexagonaux ont répondu à la promesse d’Ametix en fournissant leur identité, mail, lien Linkedin et CV. Sauf que les informations n’étaient pas sauvegardées dans un lieu protégé, sécurisé des regards tels que Google, ou tout simplement de l’internaute ayant tapé son identité dans Google.

Les fichiers fournis par les internautes étaient simplement sauvegardés sur le site.

Les centaines de CV étaient sauvegardés dans le site même, dans un dossier Upload du WordPress utilisé pour l’opération. Plus dramatique encore, aucune protection n’avait été mise en place pour que ce dossier de téléchargement n’affiche pas son contenu dans les navigateurs des visiteurs. Comme le montre notre capture écran, notre message « Protocole d’Alerte ZATAZ » est bien présent, à côté de données privées laissées par les internautes. Bref, prendre un site web pour un espace de stockage, ce n’est pas la meilleure idée du siècle ! La fuite aura durée, d’après nos constatations et jusqu’à la correction de cette dernière ce lundi 21 septembre, sur l’ensemble du mois de septembre.

Alerte @zataz HD51155 à destination d' @AmetixWeb – http://t.co/MJEpXQBs6O – @zataz @Damien_Bancal #anssi

— Protocole_ZATAZ (@Protocole_ZATAZ) September 19, 2015

Alertée, l’entreprise n’a donné aucun signe de vie, que se soit sur Twitter ou par courriel. Pour les contacter, nous avons utilisé les adresses Gmail et les adresses officielles de l’entreprise qui étaient envoyées dans la confirmation électronique du dépôt de cv « Nous avons bien reçu votre CV ! Belle journée ! » indiquait le courriel de confirmation de ce dépôt. L’histoire ne dit pas si les CV étaient aussi envoyés par courriel, sur gMail !

A noter que la fuite a été corrigée depuis, en silence, sans alerter les participants de cette opération. Bref, l’important est que cela soit corrigé, mais prudence aux sollicitations si vous avez déposé vos CV. Assurez-vous de ne pas être en face d’un escroc qui a pu mettre la main sur vos infos.

Et la loi ?

Les fuites de données se multiplient. Le protocole d’alerte de Zataz en traite plusieurs dizaines par mois. Rien que ces derniers jours, en France, EasyJet et les fiches de paye de ses stewards et hôtesses ; Jingoo et les factures de ses clients ; …

Comme le rappel la Commission Informatique et des Libertés (CNIL), tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement. Ne pas protéger correctement des informations à caractère personnel, et sensibles (imprudence ou négligence) est puni de 3 ans d’emprisonnement et de 100 000 € d’amende (art. 226-22 du code pénal). Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende. (art. 226-17 du code pénal). Bref, un dépôt de plainte d’un des internautes suffira !

Il est prévu, normalement, que la législation Française soit modifiée pour protéger les internautes et leurs données. Considérée comme une nécessité, la réforme du cadre législatif de la protection des données personnelles a connu des avancées importantes entre la fin de l’année 2013 et 2014. Depuis, calme plat ! Massivement approuvé par les eurodéputés, le projet de règlement a également été beaucoup amendé, vers plus de sévérité. La législation Française doit se fondre aux obligations Européennes. D’ici fin 2016, les entreprises auront, normalement, obligation d’alerter leurs clients, par voie postale, via une lettre recommandée, avec accusé de réception, soit 6,30€ par client. Imaginez les entreprises et autres start-ups affichant fièrement 100.000 clients : 100.000 x 6,30€. Le budget « Poste » risque d’exploser. Sans parler des budgets « réparation », « avocats », … (Merci à JC).

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.