Fuite de données personnelles au Quai d'Orsay

Fuite de données personnelles au Quai d’Orsay

À vos Stabilo !

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

13/12/2018 2 minutes
47

Fuite de données personnelles au Quai d'Orsay

Le ministère des Affaires étrangères révèle le vol des informations des « personnes à prévenir » en cas de problème d'un voyageur. Les adresses email et numéros de téléphone sont concernés.

Après huit ans d'activité, le service Ariane a droit à sa fuite de données. Dans un communiqué, le ministère des Affaires étrangères confirme le vol d'informations personnelles, d'abord signalé par email à des personnes concernées. Le service permet aux voyageurs d'obtenir des informations de sécurité sur leur déplacement et d'inscrire des personnes à contacter.

Comme le note France Diplomatie, ce sont justement ces données qui ont fuité : nom, prénom, numéro de téléphone et adresse email des contacts. Leur nombre n'est pas précisé.

Le ministère dit avoir alerté la Commission nationale informatique et libertés (CNIL) et saisi la justice. Il garantit avoir pris les mesures nécessaires pour empêcher une nouvelle fuite, sans les détailler. Le service reste fonctionnel. « Ces incidents ne remettent pas en cause sa fiabilité et son utilité pour la sécurité des déplacements des Français à l’étranger », estime le Quai d'Orsay.

« On ne peut exclure que ces données puissent être utilisées par des tiers à des fins publicitaires (par courriel ou SMS), d'hameçonnage (« phishing ») ou de tentative d'escroquerie », prévient le ministère dans son email aux victimes. Jérôme Notin, directeur général du groupement Acyma, recommande de doubler de vigilance sur les messages reçus par l'adresse concernée.

Le ministère propose de contacter [email protected].

47

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (47)


J’ai reçu le message ce matin.



On peut saluer la réaction du ministère.


Et la “faille” était de quel ordre ? 


D’ordre confidentiel, probablement <img data-src=" />








loser a écrit :



D’ordre confidentiel, probablement <img data-src=" />





<img data-src=" />



Avant de parler de réactivité, il faudrait connaître depuis quand le ministère est au courant de cette faille et savoir depuis quand&nbsp; estime-t-on que la faille ayant permis ce vol existait.



Parmi les fuites de données récent, de nombreux cas concernent des failles remontées depuis plusieurs mois, voir années et dans certains cas le vol a été remarqué plusieurs années après et la faille connue seulement au moment même de sa découverte.



Le ministère vient juste d’alerter, ce que la loi doit l’obliger à faire dans les plus bref délais. Nous avons aucun détail supplémentaire.








t1nt1n a écrit :



J’ai reçu le message ce matin.



On peut saluer la réaction du ministère.



Tu t es inscrit a quelle date? Je me suis mis sur le site fin octobre pour des déplacements au Moyen Orient et pas eu de mail ce matin pour ma part …&nbsp;



Ils précisent qu’il s’agit des informations spécifiées dans la partie “personne à prévenir en cas d’urgence”.

Rien n’est précisé dans le cas où c’est toi qui te déclarait voyageur.



J’ai reçu l’email ce matin, lié au voyage de mon frère d’il y a 2 mois.


Mon père a reçu ce mail ce matin. Il était dans la liste des personnes à prévenir depuis le printemps 2016, date à laquelle je préparais un voyage en Asie… Personnellement je ne l’ai pas reçu. J’ai aussitôt supprimé l’ensemble de mes données et les siennes du portail Ariane. Je n’avais jamais pensé à aller faire du ménage sur ce site, pensant que les données seraient supprimées automatiquement après la date de fin du voyage…


Il y a une durée de conservation qui excède celle nécessaire au regard des finalités comme tu avais indiqué une date de fin de

voyage.



Pas vraiment conforme au RGPD tout ça, ni à l’ancienne loi du 6 janvier 1978.



D’ailleurs, sur leur site, ils ne citent que la loi du 6 janvier 1978 (avant la modification par ordonnance d’hier) et pas le RGPD qui est pourtant applicable.


STRUTS.


Pourquoi c’est pas RGPD?

La RGPD protège pas de tout piratage


Source ?








fred42 a écrit :



Il y a une durée de conservation qui excède celle nécessaire au regard des finalités comme tu avais indiqué une date de fin de

voyage.



Pas vraiment conforme au RGPD tout ça, ni à l’ancienne loi du 6 janvier 1978.



D’ailleurs, sur leur site, ils ne citent que la loi du 6 janvier 1978 (avant la modification par ordonnance d’hier) et pas le RGPD qui est pourtant applicable.





C’est bien le sens de ma question, notamment au regard des dernières décisions de la CNIL qui démontrent que celle-ci n’entend plus faire simplement des recommandations mais des préconisations techniques de sécurité, j’aimerai savoir si l’Etat respecte ces préconisations (j’ai déjà des exemples clairs démontrant que non pour certains logiciels où on frise la catastrophe tous les jours).



M’as tué… <img data-src=" />


Ce n’est pas conforme au RGPD et à la loi du 6 janvier 1978 parce que les données ont été conservées trop longtemps. Elles auraient dû être effacées rapidement après la fin du voyage.



Minimiser la quantité de données traitées minimise la quantité de données pouvant être piratées.


Selon la jurisprudence Google+, il faut donc fermer le Quai d’Orsay <img data-src=" />


C’est 3ans, si demain ils refont un voyage , pas besoin de re-renseigner les données.



https://www.cnil.fr/fr/limiter-la-conservation-des-donnees



Par contre la RGPD demande a ce qu’il y ai une communication claire et rapide en cas de piratage ce qui semble avoir été fait.



(Je viens d’en parler avec mon DPO justement)


Me femme dev encore sous struts (premier du nom) en entreprise! :(


Le piratage d’Equifax est également dû à Struts, c’est en effet encore extrêmement utilisé en production.


Tu as des sources ? tu penses vraiment que celui du quai dorsay vient de la?


Ils n’ont certes pas tout compris, mais au moins ils essaient de se mettre à l’Open Data.

Toutes les administrations n’en font pas autant!


Ariane utilise le framework Hornet (références dans le source de la page principale d’Ariane, framework développé par les services de l’Etat français), qui mets en oeuvre Struts. La coincidence est troublante.. :)



https://twitter.com/frameworkhornet et plus rigolo :https://twitter.com/FrameworkHornet/status/373094495354507265


Tu es gentil, mais lis donc la page que tu mets en lien avant d’affirmer n’importe quoi !

La seule mention à 3 ans est celle-ci :

La Cnil recommande que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans soient supprimées.

On n’est pas dans ce cas-là : il n’y a pas de prospect.



La phrase juste en-dessous de celle-ci dit :

Les données personnelles doivent donc être conservées et accessibles par les services opérationnels uniquement le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte.



Je maintiens mon affirmation initiale d’autant plus que les données personnelles dont on parle n’ont pas été fournies par celui à qui elles appartiennent mais par un proche. On dira que ce traitement répond aux exceptions à l’autorisation citées dans la loi.



Donc garder les donénes un peu plus longtemps que la durée du voyage au cas où celui-ci se prolonge, pourquoi pas, mais 3 ans, surtout pas !



Edit : je n’avais pas vu l’allusion au DPO : conseille à ta boîte d’en changer s’il a dit que dans le cas du Quai d’Orsay, la durée de 3 ans s’appliquait, à moins que ça soit toi qui as mal compris.


Pas sûr que ce soit de l’Open Data permis sans anonymisation. <img data-src=" />



Pour info, j’ai envoyé un petit mail au ministère pour demander des précisions (date de la fuite, de la découverte, nombre de personnes concernées, cause de la fuite, éventuels indices d’exploitation des données…). À voir s’ils répondent.








fred42 a écrit :



Tu es gentil, mais lis donc la page que tu mets en lien avant d’affirmer n’importe quoi !

La seule mention à 3 ans est celle-ci :

La Cnil recommande que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans soient supprimées.

On n’est pas dans ce cas-là : il n’y a pas de prospect.



La phrase juste en-dessous de celle-ci dit :

Les données personnelles doivent donc être conservées et accessibles par les services opérationnels uniquement le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte.



Je maintiens mon affirmation initiale d’autant plus que les données personnelles dont on parle n’ont pas été fournies par celui à qui elles appartiennent mais par un proche. On dira que ce traitement répond aux exceptions à l’autorisation citées dans la loi.



Donc garder les donénes un peu plus longtemps que la durée du voyage au cas où celui-ci se prolonge, pourquoi pas, mais 3 ans, surtout pas !



Edit : je n’avais pas vu l’allusion au DPO : conseille à ta boîte d’en changer s’il a dit que dans le cas du Quai d’Orsay, la durée de 3 ans s’appliquait, à moins que ça soit toi qui as mal compris.





Oui, en outre cette règle est plus un maximum qu’un délai impératif (par exemple pour les cookies c’est 13 mois avant de devoir redemander), et ce délai n’a pas de sens ici.



Le principe c’est bien de définir le délai de conservation au regard de la finalité. En premier lieu, le traitement a bien pour but de prévenir le voyageur et ses proches en cas de problème s’agissant d’un voyage déterminé.&nbsp;



Donc après la fin du voyage, conserver ces informations (du moins sans pseudonymisation) n’a pas de sens. Sauf prolongation éventuelle du fait d’obligations légales (classiquement, délai de prescription d’une action en responsabilité ou lié à une garantie contractuelle, ou encore délai de conservation des justificatifs fiscaux et comptables, mais ça me semble difficilement applicable ici).









Gnppn a écrit :



Pas sûr que ce soit de l’Open Data permis sans anonymisation. <img data-src=" />



Pour info, j’ai envoyé un petit mail au ministère pour demander des précisions (date de la fuite, de la découverte, nombre de personnes concernées, cause de la fuite, éventuels indices d’exploitation des données…). À voir s’ils répondent.





Dans tous les cas, ça va retomber d’une façon ou d’une autre sur le stagiaire ^^



J’ai eu mon mail. Merci c’est sympa….


De ce que j’ai eu comme confidences sur l’oreiller ils ont des architectes applicatifs dans une tour d’ivoire qui ne sont pas vraiment au top pour le MCO de leurs “créations”. C’est assez peu étonnant ce qui leur arrive du coup.



Il paraitrait même que l’informatique du MAE sont des fonctionnaires tellement odieux qu’ils peinent à trouver des prestataires qui acceptent de bosser pour eux. Je bosse actuellement avec une personne qui les a fuis <img data-src=" />



Des diplomaaaaates pas si diplomates quoi <img data-src=" />



#bruitsdechiottes

#glassdoor


Le RGPD s’applique ?

4% de 2200 milliards d’euros… ca fait ?


Est-ce que les pirates ont aussi le nom du voyageur à qui est rattaché cette personne de contact ?&nbsp; Si oui y’a moyen de faire du bon phishing en effet.


Hum… “Il paraitrait même que”… Ce n’est pas bien de généraliser les ont dit d’une personne.C’est une petite administration (à coté des armées, Bercy, etc.) avec un terrain de jeux informatique important dans de nombreux domaines pour les informaticiens. Ils recrutent régulièrement&nbsp;(voir la Bourse aux emplois publics sur internet) et avoir quelques années d’expériences chez eux sur un CV est assez vendeur dans certaines grosses entreprises.&nbsp; Je connais pas mal de jeunes qui y ont fait leurs premières&nbsp;armes, et pas mal de prestataire très heureux de travailler avec eux ;)Alors les ont dit…


ils ont 72 heures max pour notifier sinon il faut “justifier” le retard


Désolé d’être naif, mais je pensais qu’on stockait les données de façon chiffrée… Ou pas être qu’elles ne sont pas assez sensibles ?








edrin17 a écrit :



Désolé d’être naif, mais je pensais qu’on stockait les données de façon chiffrée… Ou pas être qu’elles ne sont pas assez sensibles ?



le chiffrage ne sert a rien si c’est l’applicatif qui fait défaut…



chiffrement <img data-src=" />

(sinon c’est de la compta)


Le chiffrement ça sert si on te vole les disque durs ou pour les communications principalement. Si l’appli se fait pirater ça sert pas à grand chose…


Dans la FAQ indique que c’est le signalement à la CNIL qui est soumis aux 72h, pas l’information au personnes concernées.



https://www.diplomatie.gouv.fr/fr/salle-de-presse/communiques-techniques/article…



Quand cette attaque a-t-elle été détectée&nbsp;?

Le Ministère de l’Europe et des Affaires étrangères a pris connaissance de l’attaque le 5 décembre 2018 […]

Conformément aux exigences légales, le Ministère de l’Europe et des

Affaires étrangères en a informé la CNIL dans les 72 heures. Nous avons

ensuite lancé une procédure d’information auprès de toutes les personnes

concernées.


La suite dans #LeBrief de ce matin, avec les ajouts de la FAQ publiée par le ministère hier soir. :)


Ben je ne connais que des gens qui les ont quitté dégoutés perso, pour des raisons très variées mais qui dressent un tableau peu reluisant. C’est pas des on dit, c’est des témoignages nombreux et de première main (ils ont une armée de prestataires info et de contractuels qui passent chez eux). Et comme tu dis c’est pas beaucoup de monde donc généraliser n’est pas du tout abusif.



Ca a l’air mieux dans les devs orientés sécurité mais la partie gestion c’est une horreur, la caricature de la fonction publique mal gérée et des fonctionnaires surprotégés, riches, arrogants et incompétents qui balancent l’argent public dans des projets mal gaulés avec des méthodologies douteuses/mal maitrisées et des attitudes “rugueuses” vis à vis des prestataires (type prestataire PQ, tu te soulages dedans puis tu jettes quand tu as assez sali).



Et la mauvaise réputation dépasse largement l’informatique, sur Nantes du temps ou les passeports étaient gérés sur place c’était à peu près au même niveau que Mc Do niveau bagne à emploi étudiant.








OniriCorpe a écrit :



chiffrement <img data-src=" />

(sinon c’est de la compta)





Bah la compta ce n’est pas un truc qui prend des chiffres clairs, les tritures dans tous les sens et les restituent de manière incompréhensible? Donc c’est pareil :-)



Ça se tient. <img data-src=" />


C’est du cryptage, il n’y a pas de clef et on ne peut pas retrouver les données originelles. <img data-src=" />