Connexion
Abonnez-vous

Pourquoi la CNIL tape sur les doigts du Parti socialiste

Faille, ça fait mal !

Pourquoi la CNIL tape sur les doigts du Parti socialiste

Le 28 octobre 2016 à 08h00

C’est le 26 mai 2016, lors d’un contrôle à distance, que la Commission nationale de l'informatique et des libertés (CNIL) a déniché une faille de sécurité sur l’un des sites du PS. Une vulnérabilité qui a concerné plusieurs dizaines de milliers de primo-adhérents, pas moins. 

Informée par Damien Bancal (Zataz.com), la CNIL a pu constater la disponibilité de plusieurs fichiers sur une plateforme du parti politique. Les enquêteurs « ont notamment pu prendre connaissance des éléments suivants : nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation de certains adhérents » (voir notre actualité initiale).

L’excusotron version PS

Alerté le jour même, le PS a subi un contrôle sur place le 15 juin, afin de révéler les origines du problème. Selon le DSI du PS, la faille avait pour origine l’injection d’un script Javascript. Depuis, toutes les rustines ont été apposées pour colmater cette fuite survenue le 12 mai dernier, à l’occasion d’une mise à jour de l’application du suivi des paiements des primo-adhésions.

Pris la main dans le pot de confiture, la Rue de Solférino a plaidé sa bonne foi et sa vive réactivité, assurant que l’épisode avait été bref et qu’a priori personne n’avait eu accès aux données. Mieux : ces soucis ont été de « portée limitée » puisque « la donnée la plus sensible était celle faisant état d’une adhésion à un parti politique qui est (...) un acte militant et public que leurs auteurs ne cherchent généralement pas à dissimuler ».

I can’t GET no

Après s’être frottée les yeux, la CNIL n’a eu aucun mal à démonter ce fragile argumentaire rappelant au parti majoritaire à l’Assemblée nationale que les opinions politiques sont bien des données sensibles au sens de la loi de 1978. Elles justifient donc par nature des protections particulières. Or, « l’utilisation de la méthode dite Get qui intègre le secret d’authentification de l’utilisateur dans les paramètres de l’URL constitue une défaillance importante en termes de sécurité et de confidentialité ».

Une méthode jugée « non fiable au regard des règles de l’art » qui aurait dû être écartée au plus tôt en amont. En effet, quiconque connait l’URL peut récupérer les informations d’authentification pour les exploiter. Autre couac, « le secret contenu dans l’URL était transformé à l’aide de l’algorithme de hachage MD5 sans sel, méthode obsolète qui ne permet pas d’assurer la sécurité des données ». Enfin, le PS avait oublié de prévoir une traçabilité des paiements, ce qui n’a pas permis « d’intervenir immédiatement » pour corriger la fuite. Bref, l’autorité a conclu à un manquement à l’obligation d’assurer la sécurité des données.

Une conservation de données sans limite de temps

La CNIL a également reniflé un manquement à l’obligation de définir et mettre en œuvre une durée de conservation des données. Sur ce thème, la liste des primo-adhésions contenait des demandes remontant à 2010. Là encore, le PS a tenté la pirouette : s’il n’y avait pas de durée définie, c’est en substance pour vérifier que les demandes ultérieures de paiement constituaient bien un renouvellement, non une primo-adhésion obéissant à une tarification différente.

Sur ce point, il lui a été rappelé que par définition, un traitement sans limite de temps est disproportionné. D'autant plus que plusieurs alternatives existent pour permettre ces vérifications, en versant notamment les données dans une archive intermédiaire, accessible qu’à un nombre limité de personne. En optant pour le pire, le PS n’a donc pas su limiter l’ampleur de la faille aux seules données les plus récentes.

Le groupe a écopé pour le coup d’un avertissement public pour ces deux grosses défaillances. Conformément à une jurisprudence récente du Conseil d’État, cette délibération sera rendue anonyme dans deux ans. 

Commentaires (35)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Chaque jour apporte son lot de misères au PS :-)

votre avatar

Mais qu’en dit la hadopi de ce manque de sécurisation (voir amateurisme)

votre avatar

Rien, la CNIL prévient (souvent publiquement) c’est seulement en cas de récidive qu’il inflige une amende, donc faut sacrément être borné pour se prendre une amende (les traitements de l’état sont exclus en plus).

votre avatar

Ils ont pas peur pou le prochain budget on dirait.

votre avatar

Comme quoi, il n’y a pas qu’en politique qu’ils sont nuls :)

votre avatar



Une vulnérabilité qui a concerné plusieurs dizaines de milliers de primo-adhérents, pas moins.





c’est là qu’on voit que c’est une news bidon : il n’y a pas de nouveaux adhérents au PS …

… ou alors c’est qu’ils les ont achetés en inde comme les followers de morano.

votre avatar

Le fascisme rose … c’est MAINTENANT.

votre avatar



l’utilisation de la méthode dite Get qui intègre le secret d’authentification de l’utilisateur dans les paramètres de l’URL







le secret contenu dans l’URL était transformé à l’aide de l’algorithme de hachage MD5 sans sel



 



le PS avait oublié de prévoir une traçabilité des paiements, ce qui n’a pas permis « d’intervenir immédiatement » pour corriger la fuite





&nbsp;<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />

votre avatar

comme dit dans l’article, il y a aussi les renouvellement, et donc tout les administrateur de l’etat affilié a ce parti

votre avatar

on frôle l’amateurisme, là ! <img data-src=" />

votre avatar



« la donnée la plus sensible était celle faisant état d’une adhésion à un parti politique qui est (…) un acte militant et public que leurs auteurs ne cherchent généralement pas à dissimuler ».



Facepalm total, aussi bien sur le plan technique que sur celui de la légalité et de l’éthique…

votre avatar



Pourquoi la CNIL tape sur les doigts du Parti socialiste





Pour que je vote pour eux si ils se présentent.

votre avatar







ActionFighter a écrit :



Facepalm total, aussi bien sur le plan technique que sur celui de la légalité et de l’éthique…







Adhérer au PS sans mettre tout le monde au courant, c’est à peu prés aussi utile que de devenir punk et de ne mettre que ses posters au courant.


votre avatar

Quelqu’un a plus de détails techniques sur la faille ?

votre avatar

Ne pas sous-estimer la portée d’une telle décision publique.&nbsp;

La publicité négative a un coût loin d’être neutre.&nbsp;

votre avatar

Damien ;)

votre avatar

Tu parles au nom du PS toi maintenant ? <img data-src=" />





js2082 a écrit :



Hou la la que c’est terrible.



Ils se sont pris un avertissement, ils en tremble d’effroi, c’est sur.



Ils sont vraiment sévère la CNIL, dis donc…



(P.S: oui, c’est de l’ironie)



votre avatar

Non mais l’info là dedans, c’est qu’il y a des adhérents qui payent une cotisation au PS.





Les données personnelles, on les trouve ailleurs.



<img data-src=" />

votre avatar

En même temps, c’est ce qu’on obtient pour faire confiance à ce parti : on se fait entuber, piétiner, et voler.

votre avatar

et pendant qu’on y est, autant en profiter pour rendre public ton adresse, numéro de téléphone et adresse IP <img data-src=" />

votre avatar

Dans certaines administrations, on te fait même comprendre que tu te dois d’adhérer au parti en place … Mais bon c’est comme signer sur l’honneur pour voter au primaire LR… Ça t’engage à rien.

votre avatar

Hou la la que c’est terrible.



Ils se sont pris un avertissement, ils en tremble d’effroi, c’est sur.



Ils sont vraiment sévère la CNIL, dis donc…



(P.S: oui, c’est de l’ironie)

votre avatar

Quel dommage que la faille porte sur les primo adhérents depuis 2010 …

Ça aurait été les primo adhérents de 2015 ou 2016 ça n’aurait concerné quasiment personne ;)

votre avatar







atomusk a écrit :



et pendant qu’on y est, autant en profiter pour rendre public ton adresse, numéro de téléphone et adresse IP <img data-src=" />







La ils payent quelqu’un pour le faire, je ne peux que saluer le virage vers un nihilisme sans concession des membres du parti.


votre avatar







TaigaIV a écrit :



Adhérer au PS sans mettre tout le monde au courant, c’est à peu prés aussi utile que de devenir punk et de ne mettre que ses posters au courant.





Ces temps-ci, je ne suis pas sûr que les membres apprécient une telle publicité…


votre avatar

“Conformément à une jurisprudence récente du Conseil d’État, cette délibération sera rendue anonyme dans deux ans. ”

?

votre avatar

En même temps quelle idée d’être au Parti socialiste aussi…



<img data-src=" />



<img data-src=" />

votre avatar

D’un côté ils ont dit que le chiffrement c’était un truc de terrorise. Donc ils ne l’appliquent pas.



CQFD.



<img data-src=" />

votre avatar

J’aime beaucoup :)

votre avatar

+1

Un petit lien pour nous rafraichir la mémoire sur ce point?

votre avatar

Défaut de sécurisation: mais que fait hadopi? coupons Internet à l’ex-partie de gauche <img data-src=" />



Sinon comme beaucoup ils aiment l’informatique pour pouvoir employer toujours moins de monde, par contre ils n’aiment pas payer des informaticiens compétents <img data-src=" />

votre avatar

J’imagine que la CNIL fait disparaître de son site les avertissements de plus de deux ans ? C’est un peu étrange, en effet.

votre avatar







ActionFighter a écrit :



Ces temps-ci, je ne suis pas sûr que les membres apprécient une telle publicité…



Dans ce cas ils peuvent choisir le niveau intermédiaire en ce mettant juste une épingle à nourrice dans le nez pour bien faire comprendre à la société qu’ils l’enquiquine.


votre avatar

Ouais, ben les socialistes à chien qui boivent de la 8.6 devant ma porte d’entrée, merci bien, hein.

votre avatar







le podoclaste a écrit :



Ouais, ben les socialistes à chien qui boivent de la 8.6 devant ma porte d’entrée, merci bien, hein.







<img data-src=" />


Pourquoi la CNIL tape sur les doigts du Parti socialiste

  • L’excusotron version PS

  • I can’t GET no

  • Une conservation de données sans limite de temps

Fermer