C’est le 26 mai 2016, lors d’un contrôle à distance, que la Commission nationale de l'informatique et des libertés (CNIL) a déniché une faille de sécurité sur l’un des sites du PS. Une vulnérabilité qui a concerné plusieurs dizaines de milliers de primo-adhérents, pas moins. 

Informée par Damien Bancal (Zataz.com), la CNIL a pu constater la disponibilité de plusieurs fichiers sur une plateforme du parti politique. Les enquêteurs « ont notamment pu prendre connaissance des éléments suivants : nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation de certains adhérents » (voir notre actualité initiale).

L’excusotron version PS

Alerté le jour même, le PS a subi un contrôle sur place le 15 juin, afin de révéler les origines du problème. Selon le DSI du PS, la faille avait pour origine l’injection d’un script Javascript. Depuis, toutes les rustines ont été apposées pour colmater cette fuite survenue le 12 mai dernier, à l’occasion d’une mise à jour de l’application du suivi des paiements des primo-adhésions.

Pris la main dans le pot de confiture, la Rue de Solférino a plaidé sa bonne foi et sa vive réactivité, assurant que l’épisode avait été bref et qu’a priori personne n’avait eu accès aux données. Mieux : ces soucis ont été de « portée limitée » puisque « la donnée la plus sensible était celle faisant état d’une adhésion à un parti politique qui est (...) un acte militant et public que leurs auteurs ne cherchent généralement pas à dissimuler ».

I can’t GET no

Après s’être frottée les yeux, la CNIL n’a eu aucun mal à démonter ce fragile argumentaire rappelant au parti majoritaire à l’Assemblée nationale que les opinions politiques sont bien des données sensibles au sens de la loi de 1978. Elles justifient donc par nature des protections particulières. Or, « l’utilisation de la méthode dite Get qui intègre le secret d’authentification de l’utilisateur dans les paramètres de l’URL constitue une défaillance importante en termes de sécurité et de confidentialité ».

Une méthode jugée « non fiable au regard des règles de l’art » qui aurait dû être écartée au plus tôt en amont. En effet, quiconque connait l’URL peut récupérer les informations d’authentification pour les exploiter. Autre couac, « le secret contenu dans l’URL était transformé à l’aide de l’algorithme de hachage MD5 sans sel, méthode obsolète qui ne permet pas d’assurer la sécurité des données ». Enfin, le PS avait oublié de prévoir une traçabilité des paiements, ce qui n’a pas permis « d’intervenir immédiatement » pour corriger la fuite. Bref, l’autorité a conclu à un manquement à l’obligation d’assurer la sécurité des données.

Une conservation de données sans limite de temps

La CNIL a également reniflé un manquement à l’obligation de définir et mettre en œuvre une durée de conservation des données. Sur ce thème, la liste des primo-adhésions contenait des demandes remontant à 2010. Là encore, le PS a tenté la pirouette : s’il n’y avait pas de durée définie, c’est en substance pour vérifier que les demandes ultérieures de paiement constituaient bien un renouvellement, non une primo-adhésion obéissant à une tarification différente.

Sur ce point, il lui a été rappelé que par définition, un traitement sans limite de temps est disproportionné. D'autant plus que plusieurs alternatives existent pour permettre ces vérifications, en versant notamment les données dans une archive intermédiaire, accessible qu’à un nombre limité de personne. En optant pour le pire, le PS n’a donc pas su limiter l’ampleur de la faille aux seules données les plus récentes.

Le groupe a écopé pour le coup d’un avertissement public pour ces deux grosses défaillances. Conformément à une jurisprudence récente du Conseil d’État, cette délibération sera rendue anonyme dans deux ans.