Fuite de données personnelles « monumentale » de la police d’Irlande du Nord

Super fail

Le 11 août 2023 à 07h24

3 min

Société numérique

Société

Suite à une demande d'accès à des informations statistiques sur la police d’Irlande du Nord, des informations personnelles sur les 10 000 membres des forces de l'ordre ont été publiées par erreur.

Un fichier Excel contenant la liste des données nominatives des plus de 10 000 personnels de la Police d’Irlande du Nord (Police Service of Northern Ireland, PSNI) a été publié par erreur, explique le Guardian.

Le responsable de la PSNI, Liam Kelly, a lui-même qualifié les proportions de cette fuite de « monumentales ». En effet, nos confrères indiquent que le fichier contenait le nom de famille, l'initiale, le rang ou le grade, le lieu de travail et le service de tout le personnel de cette police.

Une demande de type CADA qui va beaucoup trop loin

La fuite n'est due à aucune attaque, mais à la publication, par erreur, du fichier source d'une réponse à une demande d'accès aux informations administratives de type CADA, sur le nombre total d'officiers et de membres du personnel de tous les grades de la PSNI, a expliqué Liam Kelly.

Les données ont été disponibles pendant une fourchette de 2 h 30 à 3 h sur le site WhatdoTheyKnow qui permet de faire ce genre de demandes au Royaume-Uni (équivalent de Ma Dada en France).

L'Information Commissioner's Office (ICO), l'autorité britannique de la protection des données, a lancé une enquête, déclarant dans un communiqué que « cet incident suscite de vives inquiétudes, car il montre que même la plus petite des erreurs humaines peut avoir des conséquences majeures ».

Peur sur la ville

Ces informations sont particulièrement sensibles puisqu'elles concernent la police qui a succédé à la police armée qui officiait lors de la guerre civile irlandaise. « Il y a beaucoup de peur et d'anxiété », explique un officier cité par le Guardian : « Certains ont quitté leur domicile du jour au lendemain. Certains n'avaient pas informé leurs amis ou leur famille qu'ils travaillaient pour le PSNI. C'est un problème particulier pour les opérations spécialisées, telles que les opérations d'infiltration ».

Une amende pourrait être infligée à La PSNI. Mais, comme l'explique le Guardian, l'ICO avait déclaré l'année dernière vouloir « réduire l'impact des amendes sur le secteur public » en ce qui concerne les mauvaises manipulations de données, tout en précisant qu'il en infligerait encore dans « les cas les plus graves ». Il est probable que cette fuite au sein de la PSNI en fasse partie.

Une nouvelle fuite confirmée 24 h plus tard…

24 heures après, la PSNI confirmait une autre fuite de données intervenue en juillet et concernant 200 personnels. Cette fois, celle-ci proviendrait d'un vol dans un véhicule privé de documents, d'un ordinateur portable et d'une radio appartenant à la police. Les personnes concernées ont été informées de l'incident.

« L'importante faille de sécurité était déjà suffisamment grave, mais cette affaire ajoute une pression supplémentaire sur le PSNI pour qu'il fournisse des explications crédibles sur les protocoles de sécurité des données et sur l'impact sur la sécurité des agents » a déclaré Liam Kelly.

Commentaires (10)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Thorgalix_21 Premium

Le 11/08/2023 à 07h55

Le sous-titre est déjà pris.

spidermoon

Le 11/08/2023 à 12h00

C’est une cadastrophe

Martin Clavey

Le 11/08/2023 à 12h07

Joli !

fred42 Premium

Le 11/08/2023 à 14h29

(reply:2146548:Martin Clavey)

Tiens, un petit nouveau !

Recherche : cadastrophe site:nextinpact.com donne :

Environ 42 résultats (0,21 secondes)

(Et je n’ai pas trafiqué le nombre de résultats retournés par Google. )

TroudhuK

Le 11/08/2023 à 21h46

Colossale-Autruche-sélective

Le 12/08/2023 à 13h56

Je peux comprendre, pour avoir fait un peu la même connerie il y a plusieurs années, à traiter des énormes fichiers Excel d’achat de composants électroniques (100 000 lignes x 60 colonnes grosso modo), et bien sûr, on masque des colonnes pour parcourir le tableau plus vite.

Sauf que quand on envoie une partie du tableau aux fournisseurs pour quotation, bien penser à effacer des colonnes, genre celle du prix moyen du composant acheté quand il y a 2 ou 3 fournisseurs actifs, colonnes qui étaient masquées.

Mon boss l’a vu… pas moi, trop tard…Ca a douillé sec le Lundi matin…

fred42 Premium

Le 12/08/2023 à 14h18

Ne jamais envoyer autre chose qu’un PDF. Ça évite bien des fuites.

Colossale-Autruche-sélective

Le 12/08/2023 à 21h19

fred42 a dit:

Ne jamais envoyer autre chose qu’un PDF. Ça évite bien des fuites.

Pas possible , car ensuite les fichiers Excel sont re consolidés dans le système et ensuite grosse macro qui remouline tout ça pendant plusieurs minutes (à l’époque en 2011), tout faire en texte, grosse galère, avec tous les filtres de conversion char <–> numérique

Et la tronche du fournisseur si on lui envoie du fichier en format “texte” non editable…enfin très difficilement, sachant que c’est pas le but du PDF de faire du travail “collaboratif”…

J’ai appris par un fournisseur après ma boulette que mon boss avait fait quasiment la même un an avant…

L’être humain est faillible après des centaines de copié collés dans une même journée…

(note: la boîte était Schneider Electric)

SebGF Premium

Le 13/08/2023 à 07h31

Ah, le bon vieil ETL développé dans Excel couplé à son célèbre mode SGBD ?

Je pense que vous auriez tout à y gagner de passer sur un vrai système de gestion d’achats au vu du besoin.

fofo9012 Premium

Le 13/08/2023 à 09h42

Le fichier Excel ne respecte pas le principe d’anonymisation du RGPD : Chaque donnée unitaire (grade, adresse) devrait ne contenir qu’un numéro d’employé (par ex). Si tu exportes l’onglet grade, tu as un numéro d’employé associé à un grade : pas franchement exploitable.
Si tu dois exporter l’onglet nom ou adresse, c’est un onglet donnée personnelle qui doit nécessiter une validation particulière ou anonymisation (par exemple vider la colonne matricule, mélanger les colonnes d’adresses pour pouvoir faire des stats, sans divulguer d’adresse exacte…)