IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

La CNIL émet un avertissement public pour le Parti Socialiste

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 361
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 361
    Points : 154 800
    Points
    154 800
    Par défaut La CNIL émet un avertissement public pour le Parti Socialiste
    La CNIL émet un avertissement public pour le Parti Socialiste,
    suite à une faille de sécurité en ligne qui mettait en péril des données sensibles

    Après avoir été informé de de l’existence d’une faille de sécurité entraînant une fuite de données sur le site du Parti Socialiste le 26 mai 2016 par l’éditeur du site « zataz.com » , la Commission Nationale Informatique et Liberté a lancé un contrôle en ligne le lendemain. Elle a indiqué avoir constaté que les mesures garantissant la sécurité et la confidentialité des données des primo-adhérents du PS étaient insuffisantes.

    La CNIL explique que ses contrôleurs ont pu accéder librement, par la saisie d’une URL, à la plateforme de suivi des primo-adhésions au Parti Socialiste effectuées en ligne. Ils ont eu accès à un répertoire du nom de domaine « parti-socialiste.fr » contenant plusieurs fichiers classés sous un onglet « Adhésion », lui-même divisé en plusieurs sous-onglets intitulés « en attente de traitement », « adhésion non finalisée » et « adhésion transmise ».La délégation a constaté qu’il était possible d’exporter les éléments suivants au format CSV : nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation de certains adhérents..

    La Commission explique que cette faille avait été rendue possible par l’utilisation d’une technique non sécurisée d’authentification à la plateforme et qu’elle a concerné plusieurs dizaines de milliers de primo-adhérents. La CNIL a donc entrepris d’alerter le PS qui a immédiatement pris les mesures nécessaires pour y mettre fin.

    Cependant, cette alerte a quand même donné lieu à un second contrôle qui a été réalisé 15 juin 2016 cette fois-là dans les locaux du PS : l’objectif était de comprendre les raisons de cette faille de sécurité. Ce contrôle a permis de révéler que les bonnes pratiques en matière de sécurité et de protection des données personnelles n’étaient pas respectées dès le départ. La CNIL affirme par exemple qu’il n’existait pas de procédure d’authentification forte au site ni de système de traçabilité permettant notamment d’identifier l’éventuelle exploitation malveillante de la faille.

    Le contrôle a également permis de constater que le PS conservait sans limitation de durée les données personnelles de la plateforme, ce qui avait accru la portée de la fuite de données. La base active contenait des demandes d’adhésion effectuées depuis 2010 qui auraient dû a minima être stockées en archive.

    Suite à ces informations, la Présidente de la CNIL a décidé d’engager une procédure de sanction en désignant un rapporteur. La formation restreinte de la CNIL a opté pour un avertissement public car elle a estimé que le Parti Socialiste avait manqué à ses obligations :
    • de veiller à la sécurité des données à caractère personnel des primo-adhérents, en méconnaissance de l’article 34 de la loi Informatique et Libertés (qui dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès) ;
    • de fixer une durée de conservation des données proportionnelle aux finalités du traitement en méconnaissance de l’article 6-5 de la loi Informatique et Libertés (qui prévoit que les données à caractères personnelles sont conservées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées).

    Le PS échappe ainsi à une sanction pécuniaire.

    Source : annonce CNIL, délibération de la CNIL (au format PDF)

    Voir aussi :

    La CNIL délivre son premier label « coffre-fort numérique », gage d'un haut niveau de sécurité et de qualité en matière de stockage de données
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Nouveau membre du Club
    Homme Profil pro
    qdqsdqd
    Inscrit en
    juin 2014
    Messages
    17
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : Dominique Rep.

    Informations professionnelles :
    Activité : qdqsdqd

    Informations forums :
    Inscription : juin 2014
    Messages : 17
    Points : 32
    Points
    32
    Par défaut
    Ouais fin, utiliser "POST" a la place de "GET" ça fais pas tout...

  3. #3
    Inactif  
    Homme Profil pro
    Collégien
    Inscrit en
    octobre 2016
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Collégien

    Informations forums :
    Inscription : octobre 2016
    Messages : 10
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par Xjames56X Voir le message
    Ouais fin, utiliser "POST" a la place de "GET" ça fais pas tout...
    De quoi parlez-vous ? Si c'est pour dire n'importe quoi, abstenez-vous.

  4. #4
    Membre éprouvé
    Homme Profil pro
    Consultant en technologies
    Inscrit en
    juin 2013
    Messages
    260
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Consultant en technologies
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juin 2013
    Messages : 260
    Points : 903
    Points
    903
    Par défaut
    Citation Envoyé par Rapmerd3ur Voir le message
    De quoi parlez-vous ? Si c'est pour dire n'importe quoi, abstenez-vous.
    je suppose que cette personne disait que la qualification de sécurité retournée par la CNIL a été corrigé d'une requête POST vers une requête GET. Comme ça la CNIL est contente (vu qu'elle ne voit plus le problème) mais que la sécurité est toujours inexistante

  5. #5
    Rédacteur

    Avatar de SQLpro
    Homme Profil pro
    Expert bases de données / SQL / MS SQL Server / Postgresql
    Inscrit en
    mai 2002
    Messages
    20 897
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert bases de données / SQL / MS SQL Server / Postgresql
    Secteur : Conseil

    Informations forums :
    Inscription : mai 2002
    Messages : 20 897
    Points : 49 645
    Points
    49 645
    Billets dans le blog
    1
    Par défaut
    Pour avoir travaillé un temps à dans l'économie sociale (parti politiques, syndicats, mutuelles, CE...) je peut vous dire que ce monde là est généralement extrêmement peu sécurisé sur le plan informatique, car eu lieu de faire appel à des professionnels ont fait appel à des petits copains, qui s'en mettent plein la poche (voir l'affaire bygmalion...) ou n'ont aucune idée des règles de l'art à appliquer...

    Il y aurait fort à dire sur les plan de l'informatique ce chacun des partis politiques, raison pour laquelle je vous conseille de ne pas adhérer à aucun parti, à moins que le fait que votre patron ou votre cop(a)in(e) soit au courant de votre engagement politique vous laisse indifférent !

    A +
    Frédéric Brouard - SQLpro - ARCHITECTE DE DONNÉES - expert SGBDR et langage SQL
    Le site sur les SGBD relationnels et le langage SQL: http://sqlpro.developpez.com/
    Blog SQL, SQL Server, SGBDR : http://blog.developpez.com/sqlpro
    Expert Microsoft SQL Server - M.V.P. (Most valuable Professional) MS Corp.
    Entreprise SQL SPOT : modélisation, conseils, audit, optimisation, formation...
    * * * * * Expertise SQL Server : http://mssqlserver.fr/ * * * * *

  6. #6
    Expert confirmé Avatar de ManusDei
    Homme Profil pro
    vilain troll de l'UE
    Inscrit en
    février 2010
    Messages
    1 616
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : vilain troll de l'UE

    Informations forums :
    Inscription : février 2010
    Messages : 1 616
    Points : 4 300
    Points
    4 300
    Par défaut
    Je me suis un poil renseigné vis-à-vis de mon parti (MoDem), le fichier des adhérents n'est pas sur le site (il n'est accessible qu'en local en fait, on reçoit la partie qui nous concerne par mail), et le site d'adhésion utilise une connexion sécurisée par "tls 1.2 aes_128_gcm ecdhe rsa P-256" d'après mon navigateur.

    Ca vaut quoi question sécurité ? C'est bien ou pas ?
    http://www.traducteur-sms.com/ On ne sait jamais quand il va servir, donc il faut toujours le garder sous la main

Discussions similaires

  1. Publication pour un CD-Rom ?
    Par vez2006 dans le forum Flash
    Réponses: 7
    Dernier message: 08/09/2006, 20h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo