Pourquoi la CNIL tape sur les doigts du Parti socialiste
Faille, ça fait mal !
Le 28 octobre 2016 à 08h00
4 min
Droit
Droit
C’est le 26 mai 2016, lors d’un contrôle à distance, que la Commission nationale de l'informatique et des libertés (CNIL) a déniché une faille de sécurité sur l’un des sites du PS. Une vulnérabilité qui a concerné plusieurs dizaines de milliers de primo-adhérents, pas moins.
Informée par Damien Bancal (Zataz.com), la CNIL a pu constater la disponibilité de plusieurs fichiers sur une plateforme du parti politique. Les enquêteurs « ont notamment pu prendre connaissance des éléments suivants : nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation de certains adhérents » (voir notre actualité initiale).
L’excusotron version PS
Alerté le jour même, le PS a subi un contrôle sur place le 15 juin, afin de révéler les origines du problème. Selon le DSI du PS, la faille avait pour origine l’injection d’un script Javascript. Depuis, toutes les rustines ont été apposées pour colmater cette fuite survenue le 12 mai dernier, à l’occasion d’une mise à jour de l’application du suivi des paiements des primo-adhésions.
Pris la main dans le pot de confiture, la Rue de Solférino a plaidé sa bonne foi et sa vive réactivité, assurant que l’épisode avait été bref et qu’a priori personne n’avait eu accès aux données. Mieux : ces soucis ont été de « portée limitée » puisque « la donnée la plus sensible était celle faisant état d’une adhésion à un parti politique qui est (...) un acte militant et public que leurs auteurs ne cherchent généralement pas à dissimuler ».
I can’t GET no
Après s’être frottée les yeux, la CNIL n’a eu aucun mal à démonter ce fragile argumentaire rappelant au parti majoritaire à l’Assemblée nationale que les opinions politiques sont bien des données sensibles au sens de la loi de 1978. Elles justifient donc par nature des protections particulières. Or, « l’utilisation de la méthode dite Get qui intègre le secret d’authentification de l’utilisateur dans les paramètres de l’URL constitue une défaillance importante en termes de sécurité et de confidentialité ».
Une méthode jugée « non fiable au regard des règles de l’art » qui aurait dû être écartée au plus tôt en amont. En effet, quiconque connait l’URL peut récupérer les informations d’authentification pour les exploiter. Autre couac, « le secret contenu dans l’URL était transformé à l’aide de l’algorithme de hachage MD5 sans sel, méthode obsolète qui ne permet pas d’assurer la sécurité des données ». Enfin, le PS avait oublié de prévoir une traçabilité des paiements, ce qui n’a pas permis « d’intervenir immédiatement » pour corriger la fuite. Bref, l’autorité a conclu à un manquement à l’obligation d’assurer la sécurité des données.
Une conservation de données sans limite de temps
La CNIL a également reniflé un manquement à l’obligation de définir et mettre en œuvre une durée de conservation des données. Sur ce thème, la liste des primo-adhésions contenait des demandes remontant à 2010. Là encore, le PS a tenté la pirouette : s’il n’y avait pas de durée définie, c’est en substance pour vérifier que les demandes ultérieures de paiement constituaient bien un renouvellement, non une primo-adhésion obéissant à une tarification différente.
Sur ce point, il lui a été rappelé que par définition, un traitement sans limite de temps est disproportionné. D'autant plus que plusieurs alternatives existent pour permettre ces vérifications, en versant notamment les données dans une archive intermédiaire, accessible qu’à un nombre limité de personne. En optant pour le pire, le PS n’a donc pas su limiter l’ampleur de la faille aux seules données les plus récentes.
Le groupe a écopé pour le coup d’un avertissement public pour ces deux grosses défaillances. Conformément à une jurisprudence récente du Conseil d’État, cette délibération sera rendue anonyme dans deux ans.
Le 28 octobre 2016 à 08h00
Pourquoi la CNIL tape sur les doigts du Parti socialiste
-
L’excusotron version PS
-
I can’t GET no
-
Une conservation de données sans limite de temps
Commentaires (35)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 28/10/2016 à 08h23
Chaque jour apporte son lot de misères au PS :-)
Le 28/10/2016 à 08h27
Mais qu’en dit la hadopi de ce manque de sécurisation (voir amateurisme)
Le 28/10/2016 à 08h33
Rien, la CNIL prévient (souvent publiquement) c’est seulement en cas de récidive qu’il inflige une amende, donc faut sacrément être borné pour se prendre une amende (les traitements de l’état sont exclus en plus).
Le 28/10/2016 à 08h37
Ils ont pas peur pou le prochain budget on dirait.
Le 28/10/2016 à 08h50
Comme quoi, il n’y a pas qu’en politique qu’ils sont nuls :)
Le 28/10/2016 à 08h51
Une vulnérabilité qui a concerné plusieurs dizaines de milliers de primo-adhérents, pas moins.
c’est là qu’on voit que c’est une news bidon : il n’y a pas de nouveaux adhérents au PS …
… ou alors c’est qu’ils les ont achetés en inde comme les followers de morano.
Le 28/10/2016 à 08h56
Le fascisme rose … c’est MAINTENANT.
Le 28/10/2016 à 08h58
l’utilisation de la méthode dite Get qui intègre le secret d’authentification de l’utilisateur dans les paramètres de l’URL
le secret contenu dans l’URL était transformé à l’aide de l’algorithme de hachage MD5 sans sel
le PS avait oublié de prévoir une traçabilité des paiements, ce qui n’a pas permis « d’intervenir immédiatement » pour corriger la fuite
" />" />" />" />" />" />" />" />" />" />" />" />" />" />
Le 28/10/2016 à 09h08
comme dit dans l’article, il y a aussi les renouvellement, et donc tout les administrateur de l’etat affilié a ce parti
Le 28/10/2016 à 09h19
on frôle l’amateurisme, là ! " />
Le 28/10/2016 à 09h25
« la donnée la plus sensible était celle faisant état d’une adhésion à un parti politique qui est (…) un acte militant et public que leurs auteurs ne cherchent généralement pas à dissimuler ».
Facepalm total, aussi bien sur le plan technique que sur celui de la légalité et de l’éthique…
Le 28/10/2016 à 09h42
Pourquoi la CNIL tape sur les doigts du Parti socialiste
Pour que je vote pour eux si ils se présentent.
Le 28/10/2016 à 09h44
Le 28/10/2016 à 12h25
Quelqu’un a plus de détails techniques sur la faille ?
Le 28/10/2016 à 12h46
Ne pas sous-estimer la portée d’une telle décision publique.
La publicité négative a un coût loin d’être neutre.
Le 28/10/2016 à 12h46
Damien ;)
Le 28/10/2016 à 15h08
Tu parles au nom du PS toi maintenant ? " />
Le 28/10/2016 à 17h14
Non mais l’info là dedans, c’est qu’il y a des adhérents qui payent une cotisation au PS.
Les données personnelles, on les trouve ailleurs.
" />
Le 31/10/2016 à 13h42
En même temps, c’est ce qu’on obtient pour faire confiance à ce parti : on se fait entuber, piétiner, et voler.
Le 28/10/2016 à 10h04
et pendant qu’on y est, autant en profiter pour rendre public ton adresse, numéro de téléphone et adresse IP " />
Le 28/10/2016 à 10h20
Dans certaines administrations, on te fait même comprendre que tu te dois d’adhérer au parti en place … Mais bon c’est comme signer sur l’honneur pour voter au primaire LR… Ça t’engage à rien.
Le 28/10/2016 à 10h25
Hou la la que c’est terrible.
Ils se sont pris un avertissement, ils en tremble d’effroi, c’est sur.
Ils sont vraiment sévère la CNIL, dis donc…
(P.S: oui, c’est de l’ironie)
Le 28/10/2016 à 10h48
Quel dommage que la faille porte sur les primo adhérents depuis 2010 …
Ça aurait été les primo adhérents de 2015 ou 2016 ça n’aurait concerné quasiment personne ;)
Le 28/10/2016 à 10h49
Le 28/10/2016 à 11h03
Le 28/10/2016 à 11h03
“Conformément à une jurisprudence récente du Conseil d’État, cette délibération sera rendue anonyme dans deux ans. ”
?
Le 28/10/2016 à 11h06
En même temps quelle idée d’être au Parti socialiste aussi…
" />
" />
Le 28/10/2016 à 11h08
D’un côté ils ont dit que le chiffrement c’était un truc de terrorise. Donc ils ne l’appliquent pas.
CQFD.
" />
Le 28/10/2016 à 11h15
J’aime beaucoup :)
Le 28/10/2016 à 11h29
+1
Un petit lien pour nous rafraichir la mémoire sur ce point?
Le 28/10/2016 à 11h34
Défaut de sécurisation: mais que fait hadopi? coupons Internet à l’ex-partie de gauche " />
Sinon comme beaucoup ils aiment l’informatique pour pouvoir employer toujours moins de monde, par contre ils n’aiment pas payer des informaticiens compétents " />
Le 28/10/2016 à 11h42
J’imagine que la CNIL fait disparaître de son site les avertissements de plus de deux ans ? C’est un peu étrange, en effet.
Le 28/10/2016 à 12h09
Le 28/10/2016 à 12h15
Ouais, ben les socialistes à chien qui boivent de la 8.6 devant ma porte d’entrée, merci bien, hein.
Le 28/10/2016 à 12h22