Pourquoi la CNIL tape sur les doigts du Parti socialiste

Pourquoi la CNIL tape sur les doigts du Parti socialiste

Faille, ça fait mal !

Avatar de l'auteur
Marc Rees

Publié dans

Droit

28/10/2016 4 minutes
35

Pourquoi la CNIL tape sur les doigts du Parti socialiste

C’est le 26 mai 2016, lors d’un contrôle à distance, que la Commission nationale de l'informatique et des libertés (CNIL) a déniché une faille de sécurité sur l’un des sites du PS. Une vulnérabilité qui a concerné plusieurs dizaines de milliers de primo-adhérents, pas moins. 

Informée par Damien Bancal (Zataz.com), la CNIL a pu constater la disponibilité de plusieurs fichiers sur une plateforme du parti politique. Les enquêteurs « ont notamment pu prendre connaissance des éléments suivants : nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation de certains adhérents » (voir notre actualité initiale).

L’excusotron version PS

Alerté le jour même, le PS a subi un contrôle sur place le 15 juin, afin de révéler les origines du problème. Selon le DSI du PS, la faille avait pour origine l’injection d’un script Javascript. Depuis, toutes les rustines ont été apposées pour colmater cette fuite survenue le 12 mai dernier, à l’occasion d’une mise à jour de l’application du suivi des paiements des primo-adhésions.

Pris la main dans le pot de confiture, la Rue de Solférino a plaidé sa bonne foi et sa vive réactivité, assurant que l’épisode avait été bref et qu’a priori personne n’avait eu accès aux données. Mieux : ces soucis ont été de « portée limitée » puisque « la donnée la plus sensible était celle faisant état d’une adhésion à un parti politique qui est (...) un acte militant et public que leurs auteurs ne cherchent généralement pas à dissimuler ».

I can’t GET no

Après s’être frottée les yeux, la CNIL n’a eu aucun mal à démonter ce fragile argumentaire rappelant au parti majoritaire à l’Assemblée nationale que les opinions politiques sont bien des données sensibles au sens de la loi de 1978. Elles justifient donc par nature des protections particulières. Or, « l’utilisation de la méthode dite Get qui intègre le secret d’authentification de l’utilisateur dans les paramètres de l’URL constitue une défaillance importante en termes de sécurité et de confidentialité ».

Une méthode jugée « non fiable au regard des règles de l’art » qui aurait dû être écartée au plus tôt en amont. En effet, quiconque connait l’URL peut récupérer les informations d’authentification pour les exploiter. Autre couac, « le secret contenu dans l’URL était transformé à l’aide de l’algorithme de hachage MD5 sans sel, méthode obsolète qui ne permet pas d’assurer la sécurité des données ». Enfin, le PS avait oublié de prévoir une traçabilité des paiements, ce qui n’a pas permis « d’intervenir immédiatement » pour corriger la fuite. Bref, l’autorité a conclu à un manquement à l’obligation d’assurer la sécurité des données.

Une conservation de données sans limite de temps

La CNIL a également reniflé un manquement à l’obligation de définir et mettre en œuvre une durée de conservation des données. Sur ce thème, la liste des primo-adhésions contenait des demandes remontant à 2010. Là encore, le PS a tenté la pirouette : s’il n’y avait pas de durée définie, c’est en substance pour vérifier que les demandes ultérieures de paiement constituaient bien un renouvellement, non une primo-adhésion obéissant à une tarification différente.

Sur ce point, il lui a été rappelé que par définition, un traitement sans limite de temps est disproportionné. D'autant plus que plusieurs alternatives existent pour permettre ces vérifications, en versant notamment les données dans une archive intermédiaire, accessible qu’à un nombre limité de personne. En optant pour le pire, le PS n’a donc pas su limiter l’ampleur de la faille aux seules données les plus récentes.

Le groupe a écopé pour le coup d’un avertissement public pour ces deux grosses défaillances. Conformément à une jurisprudence récente du Conseil d’État, cette délibération sera rendue anonyme dans deux ans. 

35

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

L’excusotron version PS

I can’t GET no

Une conservation de données sans limite de temps

Commentaires (35)


Chaque jour apporte son lot de misères au PS :-)


Mais qu’en dit la hadopi de ce manque de sécurisation (voir amateurisme)


Rien, la CNIL prévient (souvent publiquement) c’est seulement en cas de récidive qu’il inflige une amende, donc faut sacrément être borné pour se prendre une amende (les traitements de l’état sont exclus en plus).


Ils ont pas peur pou le prochain budget on dirait.


Comme quoi, il n’y a pas qu’en politique qu’ils sont nuls :)




Une vulnérabilité qui a concerné plusieurs dizaines de milliers de primo-adhérents, pas moins.





c’est là qu’on voit que c’est une news bidon : il n’y a pas de nouveaux adhérents au PS …

… ou alors c’est qu’ils les ont achetés en inde comme les followers de morano.


Le fascisme rose … c’est MAINTENANT.




l’utilisation de la méthode dite Get qui intègre le secret d’authentification de l’utilisateur dans les paramètres de l’URL







le secret contenu dans l’URL était transformé à l’aide de l’algorithme de hachage MD5 sans sel



 



le PS avait oublié de prévoir une traçabilité des paiements, ce qui n’a pas permis « d’intervenir immédiatement » pour corriger la fuite





&nbsp;<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />


comme dit dans l’article, il y a aussi les renouvellement, et donc tout les administrateur de l’etat affilié a ce parti


on frôle l’amateurisme, là ! <img data-src=" />




« la donnée la plus sensible était celle faisant état d’une adhésion à un parti politique qui est (…) un acte militant et public que leurs auteurs ne cherchent généralement pas à dissimuler ».



Facepalm total, aussi bien sur le plan technique que sur celui de la légalité et de l’éthique…




Pourquoi la CNIL tape sur les doigts du Parti socialiste





Pour que je vote pour eux si ils se présentent.








ActionFighter a écrit :



Facepalm total, aussi bien sur le plan technique que sur celui de la légalité et de l’éthique…







Adhérer au PS sans mettre tout le monde au courant, c’est à peu prés aussi utile que de devenir punk et de ne mettre que ses posters au courant.



et pendant qu’on y est, autant en profiter pour rendre public ton adresse, numéro de téléphone et adresse IP <img data-src=" />


Dans certaines administrations, on te fait même comprendre que tu te dois d’adhérer au parti en place … Mais bon c’est comme signer sur l’honneur pour voter au primaire LR… Ça t’engage à rien.


Hou la la que c’est terrible.



Ils se sont pris un avertissement, ils en tremble d’effroi, c’est sur.



Ils sont vraiment sévère la CNIL, dis donc…



(P.S: oui, c’est de l’ironie)


Quel dommage que la faille porte sur les primo adhérents depuis 2010 …

Ça aurait été les primo adhérents de 2015 ou 2016 ça n’aurait concerné quasiment personne ;)








atomusk a écrit :



et pendant qu’on y est, autant en profiter pour rendre public ton adresse, numéro de téléphone et adresse IP <img data-src=" />







La ils payent quelqu’un pour le faire, je ne peux que saluer le virage vers un nihilisme sans concession des membres du parti.









TaigaIV a écrit :



Adhérer au PS sans mettre tout le monde au courant, c’est à peu prés aussi utile que de devenir punk et de ne mettre que ses posters au courant.





Ces temps-ci, je ne suis pas sûr que les membres apprécient une telle publicité…



“Conformément à une jurisprudence récente du Conseil d’État, cette délibération sera rendue anonyme dans deux ans. ”

?


En même temps quelle idée d’être au Parti socialiste aussi…



<img data-src=" />



<img data-src=" />


D’un côté ils ont dit que le chiffrement c’était un truc de terrorise. Donc ils ne l’appliquent pas.



CQFD.



<img data-src=" />


J’aime beaucoup :)


+1

Un petit lien pour nous rafraichir la mémoire sur ce point?


Défaut de sécurisation: mais que fait hadopi? coupons Internet à l’ex-partie de gauche <img data-src=" />



Sinon comme beaucoup ils aiment l’informatique pour pouvoir employer toujours moins de monde, par contre ils n’aiment pas payer des informaticiens compétents <img data-src=" />


J’imagine que la CNIL fait disparaître de son site les avertissements de plus de deux ans ? C’est un peu étrange, en effet.








ActionFighter a écrit :



Ces temps-ci, je ne suis pas sûr que les membres apprécient une telle publicité…



Dans ce cas ils peuvent choisir le niveau intermédiaire en ce mettant juste une épingle à nourrice dans le nez pour bien faire comprendre à la société qu’ils l’enquiquine.



Ouais, ben les socialistes à chien qui boivent de la 8.6 devant ma porte d’entrée, merci bien, hein.








le podoclaste a écrit :



Ouais, ben les socialistes à chien qui boivent de la 8.6 devant ma porte d’entrée, merci bien, hein.







<img data-src=" />



Quelqu’un a plus de détails techniques sur la faille ?


Ne pas sous-estimer la portée d’une telle décision publique.&nbsp;

La publicité négative a un coût loin d’être neutre.&nbsp;


Damien ;)


Tu parles au nom du PS toi maintenant ? <img data-src=" />





js2082 a écrit :



Hou la la que c’est terrible.



Ils se sont pris un avertissement, ils en tremble d’effroi, c’est sur.



Ils sont vraiment sévère la CNIL, dis donc…



(P.S: oui, c’est de l’ironie)




Non mais l’info là dedans, c’est qu’il y a des adhérents qui payent une cotisation au PS.





Les données personnelles, on les trouve ailleurs.



<img data-src=" />


En même temps, c’est ce qu’on obtient pour faire confiance à ce parti : on se fait entuber, piétiner, et voler.