Mairie et fuite de données : la Ville de Laval fait le ménage
Mairie et fuite de données ! Voilà une nouvelle fuite de données qui fait froid dans le dos. La numérisation des Mairies et autres services territoriaux laisse la porte ouverte à de nombreuses fuites. Un exemple de fuite avec la Ville de Laval que le protocole ZATAZ a fait corriger.
Mairie et fuite de données ! Si le protocole ZATAZ n’était pas intervenu auprès de la Ville de Laval, que ce seraient devenues les informations sensibles sauvegardées sur le portail territorial ? Piratage ? Vol ? Infiltrations ? Ou rien… car les fichiers auraient disparu sans que personne ne soit au courant. Un peu comme si vous aviez une voiture, et qu’à tout moment les freins pouvaient lâcher car ils avaient été mal boulonnés.
L’histoire que je vais vous conter me fait penser au film « La Haine« , réalisé par Mathieu Kassovitz (1995) et plus précisément à cette phrase culte : « C’est l’histoire d’un homme qui tombe d’un immeuble de cinquante étages. Le mec, au fur et à mesure de sa chute il se répète sans cesse pour se rassurer : jusqu’ici tout va bien, jusqu’ici tout va bien, jusqu’ici tout va bien. Mais l’important n’est pas la chute, c’est l’atterrissage.«
https://twitter.com/Protocole_ZATAZ/status/922962609846054912
Mairie et fuite de données : jusqu’ici, tout va bien !
Comme des milliers de communes en France, les sites web des mairies s’équipent d’espaces dédiés aux démarches administratives. Faciliter la vie des habitants, tout en réduisant les coûts et les actions humaines. Pour la Ville de Laval, un espace baptisé « Mon Laval » offre de recharger son compte famille, consulter ce solde et réserver les temps d’activités périscolaires, les TAP. Il est aussi possible de modifier le planning prévisionnel annuel pour les autres temps périscolaires (accueil du matin et restauration). Bref, des mots et des interactions administratives que les parents connaissent par cœur.
Mairie et fuite de données : lL’important n’est pas la chute…
Il y a quelques jours, la Ville de Laval à fait disparaitre de son espace web des fichiers qui mettaient clairement en danger l’identité et la réputation numérique de son service et des administrés. Une base de données, des logins, les codes sources du site étaient accessibles avec un simple navigateur. Une boulette de taille. Quelqu’un a cru que cet espace communal pouvait aussi servir de cloud. Un espace de stockage que personne ne verrait. Sauf que le « personne » en question se nomme Google et qu’il a des yeux partout le moteur de recherche américain.
… mais l’atterrissage !
Le plus grave, un des fichiers comportait des identifiants pour accéder aux services web d’autres mairies, comme Perpignan, avec des logins, des mots de passe, donnant accès à une base de production, une clé privée… Des données qui n’avaient strictement rien à faire là !
Ni une, ni deux, la CNIL a été informée afin de faire disparaitre la chose, car vous l’aurez compris, aucune réponse à mon protocole d’alerte envoyé par courriel ([email protected]) n’a trouvé d’interlocuteur. [Alerte n’241020172326]
Ce genre de fuite pourra coûter entre 2 et 4% du chiffre d’affaire de l’entreprise fuiteuse. Elle peut déjà coûter un avertissement public et une amende infligée par la CNIL, si la grande dame souhaite le faire.
ZATAZ, au 1er novembre 2017 a aidé, bénévolement, 63.229 entreprises, associations françaises à boucher une fuite de données ; une infiltration pirate …