Sur le site de l'Île-de-France, télécharger des documents personnels ne demandait rien de plus qu'une simple recherche. Bertrand Matge, responsable de la mission numérique pour la région, nous explique les tenants et aboutissants de cette fuite de données, évidemment corrigée depuis.
Des failles de sécurité, il en existe de tous les genres ou presque. Il faut parfois faire preuve d'ingéniosité pour exploiter des vulnérabilités sur les systèmes, de chance pour tomber sur le bon serveur. Il suffit parfois aussi d'une simple recherche. C'était le cas du site officiel de la région Île-de-France.
Lancez une recherche sur le moteur, servez-vous
Un lecteur nous a contactés afin de nous faire part de sa découverte : avec le mot clé « PDF » dans le moteur de recherche du site et un classement des résultats par date (le plus récent en premier), des dizaines de CV étaient librement accessibles sur la première page des résultats.
Pire, un fouillant un peu plus loin, nous avons pu obtenir des photocopies de passeport, de carte nationale d'identité, des constats, des lettres de doléances, des mises en demeure, des relevés d'identité bancaire et même des bilans médicaux. Bref, des données sensibles qui ne devraient à aucun moment être librement accessibles.
Contactée par nos soins, la région a rapidement corrigé cette importante brèche de sécurité. « Il y a assez peu de mots, je suis très très embarrassé » lâche Bertrand Matge, chef de la mission numérique pour la région Île-de-France. Il nous donne également de plus amples informations et nous détaille les changements qui vont être mis en place.
Suite à un changement de serveur, les documents n'étaient plus supprimés
Le site propose depuis longtemps plusieurs formulaires, notamment pour que les jeunes puissent postuler à des offres de stage, et ils permettent de transmettre des documents (un CV par exemple). « On a eu un souci technique, on a changé d'hébergeur il y a très peu de temps, il y a un mois et demi » nous explique le responsable. Cette migration est semble-t-il l'origine de la fuite dont il est aujourd'hui question.
Normalement, les fichiers sont « supprimés toutes les 24h dès que les formulaires ont été transmis par email » nous explique notre interlocuteur. Une « mesure "suffisamment raisonnable" » selon le correspondant informatique et liberté de la région, c'est du moins ce que nous indique Bertrand Matge. De plus, les documents devaient en théorie être stockés « dans un espace privatif, qui n'est pas accessible par le site ou le moteur de recherche ».
Problème, suite au changement d'hébergeur, les deux services n'ont pas fonctionné correctement : les documents restaient sur le serveur et en plus ils étaient indexés par le moteur. « Les formulaires en tant que tels et leur contenu n'ont pas été exposés » par cette fuite de données ajoute le chef de la mission numérique.
Une fuite rapidement colmatée, un nouveau site en préparation
La réaction de l'équipe technique aura été rapide. Nous avons contacté par email le service presse de la région mardi soir de la semaine dernière, et relancé d'un appel téléphonique mercredi matin pour éviter que notre courrier ne se perde en route. « Dans la demi-heure, on a sorti tous les documents et tous les PDF de l'index de recherche du moteur du site » affirme Bertrand Matge.
De notre côté, nous avons effectivement constaté que les fichiers n'étaient plus référencés par le moteur de recherche au moins à partir de mercredi midi de la semaine dernière. Nous avons par contre attendu que les différents caches des moteurs de recherche soient mis à jour avant de publier cette actualité afin d'éviter que la moindre information ne soit encore accessible.
Dans le même temps, la région prépare un nouveau site pour remplacer l'actuel, jugé « un peu vieillissant » : « on est en train de programmer une refonte technique et architecturale » avec une mise en ligne prévue pour la fin du premier trimestre 2018. Cette nouvelle version intègrera dès le début les engagements pris par la région sur l'open data ainsi que toutes les problématiques RGPD, nous indique notre interlocuteur.
Les formulaires actuels « ont été conçus il y a maintenant quatre ans, sans forcément ces problématiques en tête, même si elles étaient déjà existantes » reconnait-il. Si des formulaires de candidature seront toujours présents sur le nouveau site, « ils ne seront pas traités avec un applicatif type CMS/Site web » pour éviter qu'une déconvenue du même genre ne se reproduise.
Les utilisateurs impactés seront contactés individuellement
En attendant, l'enquête continue afin de cerner exactement l'ampleur du problème. Seuls les documents transmis il y moins d'un mois et demi semblent concernés (après le changement d'hébergeur), mais une analyse plus profonde permettra de le confirmer (logs, sauvegarde des anciennes versions du site, etc.). « Paradoxalement, il est plus rapide d'agir pour supprimer le problème que pour l'identifier » nous explique Bertrand Matge.
Ce dernier ajoute qu'il va « bien évidemment contacter les personnes dont les données ont pu être exposées » afin de leur donner des explications et leur présenter des excuses, « en espérant l'impact aura été assez réduit ». Selon les premières estimations, entre 100 et 200 personnes seraient concernées, mais cela demande confirmation, là encore avec l'étude approfondie.
Le site ne dispose pas d'outils de gestion des statistiques sur les accès aux fichiers afin de savoir quel document a été téléchargé, par qui et combien de fois, « mais on devrait pouvoir l'estimer » espère Bertrand Matge. « On sera bien évidemment beaucoup plus vigilant à l'avenir » affirme le responsable en guise de conclusion.
