Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Quand le site de la région Île-de-France laissait fuiter CV, passeports, RIB, bilans médicaux...

Simple comme une recherche
Internet 5 min
Quand le site de la région Île-de-France laissait fuiter CV, passeports, RIB, bilans médicaux...
Crédits : kaspiic/iStock/ThinkStock

Sur le site de l'Île-de-France, télécharger des documents personnels ne demandait rien de plus qu'une simple recherche. Bertrand Matge, responsable de la mission numérique pour la région, nous explique les tenants et aboutissants de cette fuite de données, évidemment corrigée depuis.

Des failles de sécurité, il en existe de tous les genres ou presque. Il faut parfois faire preuve d'ingéniosité pour exploiter des vulnérabilités sur les systèmes, de chance pour tomber sur le bon serveur. Il suffit parfois aussi d'une simple recherche. C'était le cas du site officiel de la région Île-de-France.

Lancez une recherche sur le moteur, servez-vous

Un lecteur nous a contactés afin de nous faire part de sa découverte : avec le mot clé « PDF » dans le moteur de recherche du site et un classement des résultats par date (le plus récent en premier), des dizaines de CV étaient librement accessibles sur la première page des résultats.

Région ile de france fuite PDF

Pire, un fouillant un peu plus loin, nous avons pu obtenir des photocopies de passeport, de carte nationale d'identité, des constats, des lettres de doléances, des mises en demeure, des relevés d'identité bancaire et même des bilans médicaux. Bref, des données sensibles qui ne devraient à aucun moment être librement accessibles.

Contactée par nos soins, la région a rapidement corrigé cette importante brèche de sécurité. « Il y a assez peu de mots, je suis très très embarrassé » lâche Bertrand Matge, chef de la mission numérique pour la région Île-de-France. Il nous donne également de plus amples informations et nous détaille les changements qui vont être mis en place. 

Suite à un changement de serveur, les documents n'étaient plus supprimés

Le site propose depuis longtemps plusieurs formulaires, notamment pour que les jeunes puissent postuler à des offres de stage, et ils permettent de transmettre des documents (un CV par exemple). « On a eu un souci technique, on a changé d'hébergeur il y a très peu de temps, il y a un mois et demi » nous explique le responsable. Cette migration est semble-t-il l'origine de la fuite dont il est aujourd'hui question.

Normalement, les fichiers sont « supprimés toutes les 24h dès que les formulaires ont été transmis par email » nous explique notre interlocuteur. Une « mesure "suffisamment raisonnable" » selon le correspondant informatique et liberté de la région, c'est du moins ce que nous indique Bertrand Matge. De plus, les documents devaient en théorie être stockés « dans un espace privatif, qui n'est pas accessible par le site ou le moteur de recherche ». 

Problème, suite au changement d'hébergeur, les deux services n'ont pas fonctionné correctement : les documents restaient sur le serveur et en plus ils étaient indexés par le moteur. « Les formulaires en tant que tels et leur contenu n'ont pas été exposés » par cette fuite de données ajoute le chef de la mission numérique.

Région ile de france fuite PDFRégion ile de france fuite PDFRégion ile de france fuite PDF

Une fuite rapidement colmatée, un nouveau site en préparation

La réaction de l'équipe technique aura été rapide. Nous avons contacté par email le service presse de la région mardi soir de la semaine dernière, et relancé d'un appel téléphonique mercredi matin pour éviter que notre courrier ne se perde en route. « Dans la demi-heure, on a sorti tous les documents et tous les PDF de l'index de recherche du moteur du site » affirme Bertrand Matge.

De notre côté, nous avons effectivement constaté que les fichiers n'étaient plus référencés par le moteur de recherche au moins à partir de mercredi midi de la semaine dernière. Nous avons par contre attendu que les différents caches des moteurs de recherche soient mis à jour avant de publier cette actualité afin d'éviter que la moindre information ne soit encore accessible.

Dans le même temps, la région prépare un nouveau site pour remplacer l'actuel, jugé « un peu vieillissant » : « on est en train de programmer une refonte technique et architecturale » avec une mise en ligne prévue pour la fin du premier trimestre 2018. Cette nouvelle version intègrera dès le début les engagements pris par la région sur l'open data ainsi que toutes les problématiques RGPD, nous indique notre interlocuteur.

Les formulaires actuels « ont été conçus il y a maintenant quatre ans, sans forcément ces problématiques en tête, même si elles étaient déjà existantes » reconnait-il. Si des formulaires de candidature seront toujours présents sur le nouveau site, « ils ne seront pas traités avec un applicatif type CMS/Site web » pour éviter qu'une déconvenue du même genre ne se reproduise. 

Les utilisateurs impactés seront contactés individuellement

En attendant, l'enquête continue afin de cerner exactement l'ampleur du problème. Seuls les documents transmis il y moins d'un mois et demi semblent concernés (après le changement d'hébergeur), mais une analyse plus profonde permettra de le confirmer (logs, sauvegarde des anciennes versions du site, etc.). « Paradoxalement, il est plus rapide d'agir pour supprimer le problème que pour l'identifier » nous explique Bertrand Matge. 

Ce dernier ajoute qu'il va « bien évidemment contacter les personnes dont les données ont pu être exposées » afin de leur donner des explications et leur présenter des excuses, « en espérant l'impact aura été assez réduit ».  Selon les premières estimations, entre 100 et 200 personnes seraient concernées, mais cela demande confirmation, là encore avec l'étude approfondie.

Le site ne dispose pas d'outils de gestion des statistiques sur les accès aux fichiers afin de savoir quel document a été téléchargé, par qui et combien de fois, « mais on devrait pouvoir l'estimer » espère Bertrand Matge. « On sera bien évidemment beaucoup plus vigilant à l'avenir » affirme le responsable en guise de conclusion.

82 commentaires
Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 12/12/17 à 15:49:37

C'est la même SSII que pour la sncf ?

Avatar de KP2 Abonné
Avatar de KP2KP2- 12/12/17 à 15:53:23

J'ai du mal a comprendre pourquoi des dossiers médicaux transitent par le site institutionnel... C'est assez étrange comme demande d'informations pour un service public en ligne.
Le reste, à la rigueur, ça peut se comprendre mais bon...

Et stocker ce genre de choses, même que 24h, c'est tordu aussi. Enfin bon, ça n'est ni le 1er et ce ne sera pas le dernier site mal branlé à être mis en ligne...

Édité par KP2 le 12/12/2017 à 15:53
Avatar de janiko Abonné
Avatar de janikojaniko- 12/12/17 à 15:58:18

Il y avait déjà des fuites de données il y a 4 ans. Une ou deux lignes de script pour chiffrer à l'arrivée (script fourni contre un timbre poste et une enveloppe) et hop il n'y aurait plus eu de problème. En plus c'est du Drupal, on peut bricoler facilement.

C'est pas la meilleure des solutions mais ça aurait suffi :fumer:

Édité par janiko le 12/12/2017 à 15:59
Avatar de jeje07bis Abonné
Avatar de jeje07bisjeje07bis- 12/12/17 à 15:58:31

Eh ben bravo....

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 12/12/17 à 16:05:33

« On a eu un souci technique, on a changé d'hébergeur il y a très peu de temps, il y a un mois et demi » nous explique le responsable. Cette migration est semble-t-il l'origine de la fuite dont il est aujourd'hui question.

Plan de test ? Recette ? connais pas.

Si le nouveau serveur affiche la page d'accueil => go live !

Avatar de Ricard INpactien
Avatar de RicardRicard- 12/12/17 à 16:09:09

Respect. :fumer:

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 12/12/17 à 16:16:55

Au moins le gars ne se cache pas derrière son petit doigt, en accusant un prestataire ou un stagiaire.
Et ils ont été réactifs pour colmater la brêche et répondre à NXi.  Ca change des demandes CADA hein ! :francais:

Avatar de StephaneGames Abonné
Avatar de StephaneGamesStephaneGames- 12/12/17 à 16:18:00

"Le site ne dispose pas d'outils de gestion des statistiques sur les
accès aux fichiers afin de savoir quel document a été téléchargé, par
qui et combien de fois, « mais on devrait pouvoir l'estimer » espère Bertrand Matge."

Il n'y a pas les logs du serveur web ?

Avatar de jojofoufou INpactien
Avatar de jojofoufoujojofoufou- 12/12/17 à 16:20:23

Je crois qu'il y'a une espèce de competition entre les SSII françaises à qui fera le truc le moins bien pensé

Avatar de mtaapc Abonné
Avatar de mtaapcmtaapc- 12/12/17 à 16:24:14

Faut pas oublier qu'en plus en France, la technique c'est sale et ça paye pas, les plus grands  pouvoirs de décision sont souvent pour ceux qui sont le moins compétents techniquement (t'es bon techniquement -> tu bouges pas on va galérer à te remplacer, t'es mauvais techniquement -> une belle carrière de manager s'ouvre à toi)

Il n'est plus possible de commenter cette actualité.
Page 1 / 9