Discussion :

[Runther]

Bonjour,

J'ai découvert par hasard sur Google une page web listant les membres d'une association sportive en format JSON. Cette page référencée par Google concerne plusieurs milliers d'adhérents, et pour chaque adhérent, elle indique le prénom, le nom, la date de naissance, et le numéro adhérent. J'ai remarqué qu'il y a pas mal de mineurs concernés.

J'ai bien entendu immédiatement envoyé un email à l'association concernée en l'invitant à se mettre en rapport avec leur prestataire informatique, il y a de cela maintenant un peu plus d'une semaine. Je les ai aussi invité à contacter la CNIL s'il voulait des détails sur l'importance de la sécurité des données, et me contacter moi-même pour plus d'éclaircissement. Sans réponse pour le moment (malheureusement, ayant déjà vécu une situation similaire avec un autre site, je ne me fais pas trop d'illusions...).

Je pense attendre encore une semaine pour éventuellement contacter la CNIL, mais avant de le faire, j'aimerais des avis externes sur la nécessité de le faire.

Pourquoi le faire ?
-Fuite de données, cela paraît normal vis-à-vis des personnes concernées d'œuvrer pour faire corriger cette faille de sécurité.
-C'est la responsabilité de l'association d'assurer la sécurité de ses données
-Je n'ai pas tenté de trouver d'autres failles de sécurité (pour ne pas être dans l'illégalité), j'ai néanmoins tenté de regarder si d'autres pages de ce type étaient indexées sur Google pour cette association, je n'ai rien trouvé. Cependant, en regardant le site de l'association, j'ai découvert qu'elle disposait d'une application pour l'inscription. La procédure décrite sur le site web indique que les utilisateurs doivent rentrer une photographie d'identité et un questionnaire de santé pour les mineurs ou un certificat médical. Si l'association ne fait pas grand cas de la sécurité des données de ses membres, ce type de données peut aussi être mal protégé.
-L'association semble disposer de moyens pour corriger cette faille.

Pourquoi ne pas le faire ?
-Est-ce que la fuite de données que j'ai découverte est si grave que cela ?
-Je n'ai aucune preuve d'un manquement en terme de sécurité pour les photographies et les données de santé.
-Je peux comprendre que gérer une association sur son temps libre n'est pas forcément évident. Je n'ai pas envie de les ennuyer pour quelque chose qui pourrait être mineur.

Pour le moment, je tends plutôt vers le signalement si je n'ai pas de retour d'ici la fin de la semaine prochaine.

Merci pour vos réponses !

[Doksuri]

je pense que c'est un probleme important surtout s'il y a photocopie de la carte d'identite : il y a possibilite d'usurpation d'identite...

le site se met-il souvent a jour ?
=> si la derniere mise a jour du site (photo/article) date de l'annee derniere... tu peux etre sur que ton mails sera lu dans 1 an

je ne suis pas sur que de contacter la CNIL fera bouger les choses
=> ils leur faut deja des mois pour lancer une procedure...

[Runther]

Attention, photo d'identité, pas de la carte d'identité.
Le site est régulièrement mis-à-jour oui, là il y a des messages relatifs aux inscriptions 2023-2024.

Sinon, il y a quelques années, j'avais découvert qu'un site d'une autre (très grosse) association où j'étais donateur stockait les mots de passe en clair (le système de récupération de mot de passe m'avait renvoyé mon mot de passe en clair). J'avais fait une démarche similaire, sans réponse au bout d'un mois. J'ai contacté la CNIL qui m'a répondu rapidement que la situation était problématique, et j'ai pu constater que 2 semaines plus tard, le site était corrigé (le process de récupération de mot de passe envoyait un mail pour créer un nouveau mot de passe, l'association en question n'a par contre jamais répondu à mon mail). Est-ce la CNIL qui les a fait bouger, ou est-ce juste qu'ils ont mis un peu de temps ? Impossible à savoir, mais ça se tente quand même ^^

[Runther]

Je me permets une autre question : si vous avez déjà signalé des vulnérabilités sur un site, ça se passe comment en général ? On vous répond ? Si oui sous quel délai ? La vulnérabilité est corrigée au final ?

[binarygirl]

Un petit coup de fil pour s'assurer que votre mail a bien été reçu est n'est pas parti dans le spam folder ?

[Runther]

A mon niveau de timidité et d'anxiété sociale, insister un peu plus c'est la peur d'être intrusif, qu'on considère que je me mêle de ce qui me regarde pas, etc etc... Mais je pourrais me faire violence pour faire ça, oui ^^

[Runther]

Je me permets un petit up !
J'ai contacté l'association en question il y a deux semaines maintenant. J'ai pas trop compris leur réponse, ils avaient plus ou moins perdus mon message, mais m'ont remercié de le leur avoir envoyé. Ils étaient un peu débordés là vu que c'était la période des inscriptions.
Cependant, deux semaines plus tard, donc, la liste des adhérents est toujours en accès libre.
J'hésite toujours à faire le signalement vu qu'on n'est pas sur des données d'un haut niveau de criticité...

[Doksuri]

je pense que c'est sur la bonne voie... pas besoin de signaler

ils ont accuse reception de la faille, s'ils l'ont dit eux-meme, ils sont debordes, faut leur laisser du temps... d'autant plus si ce ne sont pas des devs... le temps qu'ils contactent l'auteur du code...

au pire, maintenant que tu sais qu'ils lisent leurs mails... relance-les dans 1 mois pour savoir ou ils en sont

[Runther]

Moui, je pense que tu as raison. Après, je t'avoue que je n'ai pas non plus envie de m'occuper de suivre ça. Là je vais rien faire, si j'y repense dans 3/4 mois et que je vois que rien n'est résolu, je ferai peut-être un signalement.
En tout cas, s'ils ne corrigent pas ça d'eux-mêmes, je pense que les prochaines fois que je vois une situation comme ça, je m'embête pas, je refile l'info à la CNIL^^

[binarygirl]

A mon avis, ils ne comprennent pas en quoi c'est un problème.
Même si les données exposées ne sont pas critiques, elles n'ont pas vocation à être exposées librement et les membres ne s'y attendent sans doute pas. Et puis si on pousse le raisonnement, la majorité des données personnelles ne sont pas critiques non plus alors.

Vous pourriez peut-être relayer l'info à zataz.com, même si je considère ce personnage un peu comme le Morandini du web Peut-être que ce sera un stimulant utile, car personne n'a envie d'avoir mauvaise presse.