Mairie et fuite de données : la Ville de Laval fait le ménage

Mairie et fuite de données ! Voilà une nouvelle fuite de données qui fait froid dans le dos. La numérisation des Mairies et autres services territoriaux laisse la porte ouverte à de nombreuses fuites. Un exemple de fuite avec la Ville de Laval que le protocole ZATAZ a fait corriger.

Mairie et fuite de données ! Si le protocole ZATAZ n’était pas intervenu auprès de la Ville de Laval, que ce seraient devenues les informations sensibles sauvegardées sur le portail territorial ? Piratage ? Vol ? Infiltrations ? Ou rien… car les fichiers auraient disparu sans que personne ne soit au courant. Un peu comme si vous aviez une voiture, et qu’à tout moment les freins pouvaient lâcher car ils avaient été mal boulonnés.

L’histoire que je vais vous conter me fait penser au film « La Haine« , réalisé par Mathieu Kassovitz (1995) et plus précisément à cette phrase culte : « C’est l’histoire d’un homme qui tombe d’un immeuble de cinquante étages. Le mec, au fur et à mesure de sa chute il se répète sans cesse pour se rassurer : jusqu’ici tout va bien, jusqu’ici tout va bien, jusqu’ici tout va bien. Mais l’important n’est pas la chute, c’est l’atterrissage.« 

https://twitter.com/Protocole_ZATAZ/status/922962609846054912

Mairie et fuite de données : jusqu’ici, tout va bien !

Comme des milliers de communes en France, les sites web des mairies s’équipent d’espaces dédiés aux démarches administratives. Faciliter la vie des habitants, tout en réduisant les coûts et les actions humaines. Pour la Ville de Laval, un espace baptisé « Mon Laval » offre de recharger son compte famille, consulter ce solde et réserver les temps d’activités périscolaires, les TAP. Il est aussi possible de modifier le planning prévisionnel annuel pour les autres temps périscolaires (accueil du matin et restauration). Bref, des mots et des interactions administratives que les parents connaissent par cœur.

Mairie et fuite de données : lL’important n’est pas la chute…

Il y a quelques jours, la Ville de Laval à fait disparaitre de son espace web des fichiers qui mettaient clairement en danger l’identité et la réputation numérique de son service et des administrés. Une base de données, des logins, les codes sources du site étaient accessibles avec un simple navigateur. Une boulette de taille. Quelqu’un a cru que cet espace communal pouvait aussi servir de cloud. Un espace de stockage que personne ne verrait. Sauf que le « personne » en question se nomme Google et qu’il a des yeux partout le moteur de recherche américain.

… mais l’atterrissage !

Le plus grave, un des fichiers comportait des identifiants pour accéder aux services web d’autres mairies, comme Perpignan, avec des logins, des mots de passe, donnant accès à une base de production, une clé privée… Des données qui n’avaient strictement rien à faire là !

Ni une, ni deux, la CNIL a été informée afin de faire disparaitre la chose, car vous l’aurez compris, aucune réponse à mon protocole d’alerte envoyé par courriel ([email protected]) n’a trouvé d’interlocuteur. [Alerte n’241020172326]

Ce genre de fuite pourra coûter entre 2 et 4% du chiffre d’affaire de l’entreprise fuiteuse. Elle peut déjà coûter un avertissement public et une amende infligée par la CNIL, si la grande dame souhaite le faire.

ZATAZ, au 1er novembre 2017 a aidé, bénévolement, 63.229 entreprises, associations françaises à boucher une fuite de données ; une infiltration pirate …

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.