Nouvelle amende CNIL pour une fuite de données

Posted On 28 Juin 2018

Tag: Association, cnil, fuite, protocole zataz

Nouvelle amende donnée par la CNIL pour une entreprise fuiteuse. ZATAZ vous explique comment un protocole d’alerte a permis de faire disparaitre des centaines d’avis d’impositions.

Nouvelle amende de la CNIL pour une fuite de données très sensible. Le 10 juin 2017, un internaute contacte ZATAZ afin de lui remonter un étonnant lien. Le lien dirige vers un site web, plus exactement dans un dossier ouvert. En regardant de plus près, le dossier apparaissait dans les moteurs de recherche tels que Google, Qwant, DuckDo. Quelques fichiers étaient référencés. Le nom de ces documents, des fichiers PDF, ne me feront pas réfléchir 50 ans : avis-imposition.

Via un Google Dork, des centaines d’avis d’impositions étaient accessibles. Dans la foulée, une alerte part à la CNIL. L’action de la grande Dame de la protection de nos données étaient lancée. L’entreprise fuiteuse, l’association ADEF.

Nouvelle amende CNIL : 75 000€

Cette société a pour mission la mise à disposition de logements dans des résidences et foyers notamment pour des étudiants, des familles monoparentales et des travailleurs migrants. Le 15 juin, la Commission Information et des Libertés réalisé un contrôle en ligne. La CNIL va constater un accès à des documents enregistrés par d’autres demandeurs comme des avis d’imposition, passeports, cartes d’identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF. 42 652 documents.

42 652 documents

La formation restreinte de la CNIL (2) a prononcé une sanction pécuniaire de 75 000 euros, estimant que l’association avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés.

La CNIL relève que les mesures élémentaires de sécurité inexistantes en amont du développement du site. Elle a notamment précisé que l’association aurait dû mettre en place un dispositif permettant d’éviter la prévisibilité des URL. Exemple : URL composée d’une chaîne de caractères aléatoires et ne comportant pas la dénomination de la pièce fournie. Dans ce cas : « carte-identité », « cni » ou « avis imposition ».

De plus, la société aurait dû prévoir une procédure d’identification ou d’authentification des utilisateurs du site internet afin de protéger les documents téléversés par les demandeurs.

Parmi les fuites, des données de centaines d'étudiants étrangers sauvegardés dans un espace web d'une université Française. L' @ANSSI_FR alertée ! Webinar n'19 d' @ITrust_France @zataz pic.twitter.com/LYsAR3xvc1

— Damien Bancal "o/" (@Damien_Bancal) June 28, 2018

A noter que le Protocole d’Alerte ZATAZ a alerté la CNIL, après avoir tenté de joindre l’entreprise fuiteuse, dans ce cas une université, après la découverte de centaine de données appartenant à des étudiants étrangers. Le stockage des données, dans un dossier, référencé par des moteurs de recherche ! C’est la 10e alerte ZATAZ a été prise en compte par la CNIL, dont Hertz France, Oui Car, Parti Socialiste, Grand frais ou encore Optical Center.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.