Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

JO 2024 : un Google Form « complètement pété » et c’est le drame

Form(idable)

JO 2024 : un Google Form « complètement pété » et c’est le drame

Google Forms est un outil du géant du Net afin de créer et partager des formulaires et des enquêtes en ligne, puis d’analyser « les réponses en temps réel ». Si on ne fait pas attention, on peut aussi se retrouver avec une fuite de données sur les bras également en « temps réel ». Club France vient d’en faire les frais, une histoire qui rappelle l’importance de bien vérifier sa configuration.

Le 29 mai à 15h23

Alors que les JO 2024 de Paris se préparent activement, notre confrère Adrien Lachet (20 minutes) vient de faire état d’une fuite de données sur un formulaire d'accréditations pour les médias. Il permet de demander un accès au Club France. Il s’agit du « lieu où tous les athlètes français médaillés seront célébrés », selon le site officiel.

Emails, téléphones, CNI… demandez le programme

« Le Google Form est complètement pété, on peut voir les réponses des autres journalistes et accéder aux données ! (numéro de téléphone, CNI, etc.) », explique-t-il, captures d’écran à l’appui. Son message a été mis en ligne à 11h48. Le formulaire a ensuite été supprimé à 12h30, toujours selon ses messages sur X.

Le formulaire affichait alors des données personnelles d'une trentaine de journalistes, avec des documents supplémentaires. Mais, heureusement, « les pièces jointes partagées étaient impossibles à récupérer, il fallait avoir un accès Drive supplémentaire, donc pas de panique de ce côté-là ! », ajoute notre confrère.

Problème technique vs problème de configuration

Peu après 15 h, le compte officiel FranceOlympique répond que « le problème technique a été résolu » et s’excuse « pour la gêne occasionnée ». Aucune explication n’est donnée sur les causes de cet « incident technique », qui ressemble bien plus à un problème de configuration.

En effet, quand on crée un formulaire, il y a une option importante dans les paramètres du formulaire : « Afficher un résumé des résultats. Partagez le résumé des résultats avec les personnes interrogées ». Si elle est activée, un lien est proposé après avoir répondu afin d’« afficher les réponses précédentes ».

Dans le cas contraire, un message indique que « le résumé des réponses à ce formulaire n'a pas été publié ». C'est d’ailleurs le message renvoyé par le formulaire actuel. Dans ce genre de cas, il ne s’agit pas d’une faille de Google Forms, mais bien d’un problème de l’interface entre la chaise et le clavier.

Ce n’est pas la première fois que la question des risques liés à la configuration est soulevée pour Google Forms. On est gentil, on ne parle même pas des questions de souveraineté que soulève l’utilisation d’outils Google dans ce genre de situation.

Que le problème vienne ou non de ce paramètre, il s’agit très certainement d’un problème de configuration (et non d’un problème technique, comme indiqué sur X). Cette histoire rappelle, une fois de plus, l’importance de bien vérifier une configuration avant de publier quoi que ce soit sur Internet. Et n’allez pas croire que cela n’arrive qu’aux autres.

Un cas non isolé : vérifiez vos configurations !

On se souvient par exemple des questions de visibilité des conversations dans Google Groups. Pas toujours comprises par les créateurs, elles peuvent entrainer des fuites d’informations personnelles. On peut également citer des milliers de bases de données MongoDB ouvertes aux quatre vents. Là encore, une configuration des plus douteuses en est la cause.

Les exemples sont probablement nombreux, faites-nous part de vos expériences dans les commentaires.

Commentaires (23)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Je ne comprend meme pas que ça passe par un google form...
Comment chez nous (Orange) on nous casse les bubbles avec la sécurité (PKI ; PC des collaborateurs changers avec ports USB déactivés etc )
votre avatar
Il me semble cependant qu'Orange a ses mails sur Outlook et que GCP et AWS y sont utilisés.
votre avatar
Exchange en serveur de messagerie ; Outlook en tant que client.
Après, bien qu'il reste tjrs la problématique du tiers de confiance, Microsoft offre fait payer plus de garanti.

Mais je vous rejoins, hum hum la solution souveraine...
votre avatar
Est-ce que ce genre de donnée vaut-il le coût de se faire chier avec une solution maison ?
Google Forms, si tu n'es pas trop une brèle, ça fait très bien le taff et est largement suffisant pour ce genre de donnée.

Mais bon, si déjà, ils ont réussi à se planter avec Google Forms, penses-tu vraiment qu'ils ont les moyens de mettre en place une solution maison sans se foirer encore plus lamentablement ? (login : "admin", mot de passe "0000")
votre avatar
La solution souveraine j'en parlais pour Orange.
Cependant, une liste de journaliste accridité je pense que ça peut interesser certains "fouteurs de trouble TERRiblement et hORiblement trISTES".
votre avatar
cadeau ; fr.wikipedia.org Wikipedia

Après, généralement, les journalistes, ils signent les articles avec leur nom. Genre, je sais que c'est Sébastien Gavois qui a écrit l'article ci-dessus et une petite recherche m'a donnée sa page Linked-in (qui me donne aussi les pages de ses collègues).
votre avatar
Oui, mais pas forcément le numéro de CNI, de téléphone ou l'adresse (encore heureux)

Cela dit niveau RGPD je ne suis pas convaincu que ça soit licite licite tout ça... Je vois pas la finalité qui nécessite de récupérer le numéro de CNI, autant le numéro de carte de presse why not, mais le numéro de CNI...
votre avatar
Oui, et je n'ai pas le nom du premier animal de compagnie non plus.

Plus sérieusement, s'ils avaient bien configuré leur forms, ça se serait limité à eux et potentiellement Google, sachant que ce dernier qui n'avait pas besoin de ça pour avoir ces infos (il s'appelait "puputte", c'était le petit teckel de la famille). Et on revient à l'autre problème, s'ils n'ont pas été capables de gérer la sécurité d'un Google Forms, alors une solution maison, je n'ose imaginer.
votre avatar
Justement, tout devient tellement fastidieux qu'on a vite fait de trouver des alternatives quand on y est contraint...
votre avatar
Beau sous-titre :neuf:

9 seulement, car j'aurais préféré form(idiable), histoire de coller au feu slogan de Google (don't be evil) :D
votre avatar
Je n'arrive vraiment pas à me faire au « sous-titre » au dessus du titre, collé sous l'image, là où il y avait la légende.
Du coup je ne l'avais même pas lu.
votre avatar
J'avoue que j'ai du mal aussi.

Au début, je me disais qu'il s'agissait peut être d'une résistance au changement. Mais non, cette difficulté persiste.

Je suis de l'équipe pour que le sous-titre soit en-dessous :)
votre avatar
Ca y est, je viens enfin de trouver les sous-titres grâce à votre aide. Pourtant je les ai cherchés vu que d'autres commentateurs continuaient à les évoquer, c'est bien qu'il devait toujours y en avoir, mais impossible de les trouver.

Gros blocage mental visiblement pour ma part, il n'y a habituellement jamais rien au-dessus d'un titre, pourquoi y aurait-il quelque chose cette fois-ci ? Et encore plus quelque chose appelé "sous-titre" ? Sans parler du problème de sens de lecture où on lit d'abord le sous-titre sans avoir le contexte. Quel intérêt de l'avoir mis là plutôt que dessous ?
votre avatar
Ca promet... invoquer un problème technique quand c'est un soucis d'interface chaise/clavier.
votre avatar
L'interface chaise/clavier était peut-être mal assise.
votre avatar
Technique is the new stagiaire.
votre avatar
pour un marketeux, la config, ça relève déjà de la technique, donc c'est un pb technique, cqfd...

(ce à quoi un tech pourrait répondre : tu as mal configuré ton outil, l'outil n'est pas en cause, donc le pb est fonctionnel.)

(non non, aucun rapport avec du vécu, bien entendu :D)
votre avatar
Les exemples sont probablement nombreux, faites-nous part de vos expériences dans les commentaires.
Est-ce que l'utilisation de github pour remonter des problèmes techniques sur un site de presse rentre dans cette catégorie ?

En effet, cela permet d'en savoir beaucoup plus que nécessaire sur ceux qui remontent des problèmes. En tout cas, c'est la raison pour laquelle je ne remonterai rien par là.

On sait où sont localisés certains, on connaît les projets qu'ils ont publiés, on peut voir la photo de certains, le nom d'autres.
votre avatar
PEBCAK :mrgreen:
On va vérifier les google groups, ils en seraient capable :tristan:
votre avatar
question incongrue : sur la capture du ""lanceur d'alertes"" (je double les guillemets volontairement), le dernier email visible de la liste, chez @gmail.com, semble incroyablement court en termes de nombre de caractères : on croirait presque que c'est un pseudo d'à peine 8 lettres ! comment est ce possible que gmail les autorise?
votre avatar
Compte créé il y a longtemps surement. Il était plus simple d'avoir des adresses avec peu de caractères et sans chiffre.
Perso, j'ai 7 caractères avant le @gmail pour mon adresse
votre avatar
Serait-ce le syndrome du "Stagiaire qui a fait n'importe quoi" ? Ce ne serait guère étonnant (autant comme raison réelle que comme excuse)...
votre avatar
Parler de "problème technique" pour décrire une flemmardise poussant à utiliser des outils gratuits d'entités obligées de collecter massivement les données de leurs utilisateurs pour le compte du Department of Justice et des administrations d'espionnage, mêlée à une incompétence des ces flemmards pour simplement correctement utiliser un tel outil, cela en dit long sur le je-m'en-foutisme.

Ne pas décrire cela comment étant de l'erreur humaine, de la bêtise, voire de la flemme, est un manque d'honnêteté classique, consistant à toujours rejeter la faute sur autrui (l'outil ici, qui fait très bien exactement le boulot qui lui est demandé).

Utiliser des outils torpillant les confidentialité des données et la vie privée est une attaque sur les libertés des autres. On se fout de ce que vous pensez individuellement pour votre propre vie, tant que vous interagissez avec d'autres via ces outils.
Ça n'est pourtant pas difficile à comprendre… quand on cherche à comprendre.
Quand on se fout de tout et surtout des autres, par individualisme, voilà un exemple de ce que ça peut produire.

Ce n'est plus une erreur d'utiliser de tels outils plutôt que des outils auto-hébergés : c'est une véritable (absence de) volonté de s'intéresser aux risques et/ou dommages déjà connus, donc un choix.

Luttons contre les logiques auto-centrées, égoïste, voire égocentriques :
* "je n'ai rien à cacher" -> donne aux autres tous tes mots de passe, ainsi que l'accès à tes comptes bancaires et les détails de vie privée que tu connais sur toi et tes proches
* "c'est plus simple (pour moi)"
* "ça n'est pas si grave (pour moi)"
* "pourquoi est-ce grave (car je fais semblant de ne pas savoir ou m'en tape sans le dire)"

JO 2024 : un Google Form « complètement pété » et c’est le drame

  • Emails, téléphones, CNI… demandez le programme

  • Problème technique vs problème de configuration

  • Un cas non isolé : vérifiez vos configurations !

Fermer