Suite à une demande d'accès à des informations statistiques sur la police d’Irlande du Nord, des informations personnelles sur les 10 000 membres des forces de l'ordre ont été publiées par erreur.
Un fichier Excel contenant la liste des données nominatives des plus de 10 000 personnels de la Police d’Irlande du Nord (Police Service of Northern Ireland, PSNI) a été publié par erreur, explique le Guardian.
Le responsable de la PSNI, Liam Kelly, a lui-même qualifié les proportions de cette fuite de « monumentales ». En effet, nos confrères indiquent que le fichier contenait le nom de famille, l'initiale, le rang ou le grade, le lieu de travail et le service de tout le personnel de cette police.
Une demande de type CADA qui va beaucoup trop loin
La fuite n'est due à aucune attaque, mais à la publication, par erreur, du fichier source d'une réponse à une demande d'accès aux informations administratives de type CADA, sur le nombre total d'officiers et de membres du personnel de tous les grades de la PSNI, a expliqué Liam Kelly.
Les données ont été disponibles pendant une fourchette de 2 h 30 à 3 h sur le site WhatdoTheyKnow qui permet de faire ce genre de demandes au Royaume-Uni (équivalent de Ma Dada en France).
L'Information Commissioner's Office (ICO), l'autorité britannique de la protection des données, a lancé une enquête, déclarant dans un communiqué que « cet incident suscite de vives inquiétudes, car il montre que même la plus petite des erreurs humaines peut avoir des conséquences majeures ».
Peur sur la ville
Ces informations sont particulièrement sensibles puisqu'elles concernent la police qui a succédé à la police armée qui officiait lors de la guerre civile irlandaise. « Il y a beaucoup de peur et d'anxiété », explique un officier cité par le Guardian : « Certains ont quitté leur domicile du jour au lendemain. Certains n'avaient pas informé leurs amis ou leur famille qu'ils travaillaient pour le PSNI. C'est un problème particulier pour les opérations spécialisées, telles que les opérations d'infiltration ».
Une amende pourrait être infligée à La PSNI. Mais, comme l'explique le Guardian, l'ICO avait déclaré l'année dernière vouloir « réduire l'impact des amendes sur le secteur public » en ce qui concerne les mauvaises manipulations de données, tout en précisant qu'il en infligerait encore dans « les cas les plus graves ». Il est probable que cette fuite au sein de la PSNI en fasse partie.
Une nouvelle fuite confirmée 24h plus tard…
24 heures après, la PSNI confirmait une autre fuite de données intervenue en juillet et concernant 200 personnels. Cette fois, celle-ci proviendrait d'un vol dans un véhicule privé de documents, d'un ordinateur portable et d'une radio appartenant à la police. Les personnes concernées ont été informées de l'incident.
« L'importante faille de sécurité était déjà suffisamment grave, mais cette affaire ajoute une pression supplémentaire sur le PSNI pour qu'il fournisse des explications crédibles sur les protocoles de sécurité des données et sur l'impact sur la sécurité des agents » a déclaré Liam Kelly.
Commentaires (10)
#1
Le sous-titre est déjà pris.
#2
C’est une cadastrophe
#2.1
Joli !
#3
Tiens, un petit nouveau !
Recherche : cadastrophe site:nextinpact.com donne :
(Et je n’ai pas trafiqué le nombre de résultats retournés par Google.
)
#3.1
#4
Je peux comprendre, pour avoir fait un peu la même connerie il y a plusieurs années, à traiter des énormes fichiers Excel d’achat de composants électroniques (100 000 lignes x 60 colonnes grosso modo), et bien sûr, on masque des colonnes pour parcourir le tableau plus vite.
Sauf que quand on envoie une partie du tableau aux fournisseurs pour quotation, bien penser à effacer des colonnes, genre celle du prix moyen du composant acheté quand il y a 2 ou 3 fournisseurs actifs, colonnes qui étaient masquées.
Mon boss l’a vu… pas moi, trop tard…Ca a douillé sec le Lundi matin…
#4.1
Ne jamais envoyer autre chose qu’un PDF. Ça évite bien des fuites.
#4.2
Pas possible , car ensuite les fichiers Excel sont re consolidés dans le système et ensuite grosse macro qui remouline tout ça pendant plusieurs minutes (à l’époque en 2011), tout faire en texte, grosse galère, avec tous les filtres de conversion char <–> numérique
Et la tronche du fournisseur si on lui envoie du fichier en format “texte” non editable…enfin très difficilement, sachant que c’est pas le but du PDF de faire du travail “collaboratif”…
J’ai appris par un fournisseur après ma boulette que mon boss avait fait quasiment la même un an avant…
L’être humain est faillible après des centaines de copié collés dans une même journée…
(note: la boîte était Schneider Electric)
#4.3
Ah, le bon vieil ETL développé dans Excel couplé à son célèbre mode SGBD ?
Je pense que vous auriez tout à y gagner de passer sur un vrai système de gestion d’achats au vu du besoin.
#5
Le fichier Excel ne respecte pas le principe d’anonymisation du RGPD : Chaque donnée unitaire (grade, adresse) devrait ne contenir qu’un numéro d’employé (par ex). Si tu exportes l’onglet grade, tu as un numéro d’employé associé à un grade : pas franchement exploitable.
Si tu dois exporter l’onglet nom ou adresse, c’est un onglet donnée personnelle qui doit nécessiter une validation particulière ou anonymisation (par exemple vider la colonne matricule, mélanger les colonnes d’adresses pour pouvoir faire des stats, sans divulguer d’adresse exacte…)