IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    2 070
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 2 070
    Points : 56 141
    Points
    56 141
    Par défaut Les données personnelles de 10 000 allocataires de la CAF de Gironde mises en ligne par erreur
    Les données personnelles de 10 000 allocataires de la CAF de Gironde mises en ligne par erreur
    Sont restées en libre accès pendant un an et demi

    La Caisse d’allocations familiales (CAF) de Gironde a partagé avec l'un de ses prestataires chargés de former ses agents (à la programmation en langage R) des données personnelles de 10 204 allocataires sous forme de fichier .zip. Le prestataire les a ensuite mis en ligne pensant qu’il s’agissait de données fictives destinées à la formation que la CAF avait mises à sa disposition. Résultat : dates de naissance, composition du foyer, adresses, revenus et montants reçus de la CAF de ces allocataires se sont trouvées sur Internet en libre accès sur Internet et ce, pendant un an et demi.

    « L’origine de cette "fuite" que la cellule investigation de Radio France vous révèle, se trouve à la caisse d’allocations familiales de Gironde. L’organisme (de statut privé, chargé d’une mission de service public, comme toutes les CAF) forme régulièrement ses agents, notamment ses statisticiens. Pour leur apprendre le langage R, un langage de programmation destiné aux statistiques, il fait appel à un prestataire basé en région parisienne. Et comme dans toutes les formations, il y a des cas pratiques avec des exercices.

    Dans ce cadre-là, la CAF de Gironde a communiqué à son client un fichier comportant les données personnelles de 10 204 allocataires précisément. Les noms et prénoms ont été enlevés ainsi que les codes postaux, mais il reste beaucoup d’informations : adresse (numéro et nom de la rue), date de naissance, composition et revenus du foyer, montants et types de prestations reçues (RSA, APL, allocation adulte handicapé...), au total, pas moins de 181 données par allocataire ont été dévoilées. Même les dates de naissance des enfants et l’existence d’une garde alternée sont mentionnées dans le fichier. La suppression des noms et des prénoms n’empêche nullement d’identifier les allocataires, car en utilisant l’annuaire inversé sur internet, nous avons pu retrouver l'identité de la plupart d’entre eux.
    Au moment de la formation, en mars 2021, le prestataire met ce fichier en ligne sur son site internet (voir captures d’écran ci-dessous) », rapporte la cellule d’investigation de Radio France.

    Le prestataire a donc mis en ligne les données (qu’il pensait créées de toutes pièces par la CAF) en mars 2021 pour les cas pratiques de formation en ligne des agents de la CAF à la programmation en langage R. Il a ensuite omis de supprimer le fichier et ne l’a retiré qu’après le signalement de Radio France, soit 18 mois plus tard. La cellule d’investigation rapporte en sus que l’utilisation d’un annuaire inversé sur Internet permettait de retrouver les noms et prénoms des allocataires et donc de les identifier.

    Nom : 1.jpg
Affichages : 2201
Taille : 74,8 Ko

    Le partage de données initié par la CAF n’est pas conforme aux dispositions du RGPD qui requiert au préalable le consentement de chaque personne concernée. En d’autres termes, les allocataires auraient dû accepter bien en amont un tel partage. Des poursuites judiciaires pourraient donc suivre.

    Et vous ?

    Quel commentaire faites-vous de cette situation ?

    Voir aussi :

    Un chercheur en sécurité a découvert plus de 1500 identifiants Amazon Ring en vente sur le Dark Net, permettant d'accéder à l'ensemble des appareils connectés aux sonnettes
    Amazon et Ring distribuent leurs dispositifs de surveillance connectés en utilisant les agents de police, comme des représentants commerciaux
    Plus de 267 millions de noms et de numéros de téléphone provenant de Facebook ont été divulgués en ligne, selon des chercheurs en sécurité
    De nombreux systèmes militaires américains critiques pour la sécurité utilisent désormais Linux, un système d'exploitation qui répond au mieux aux exigences du gouvernement ?

  2. #2
    Membre confirmé
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Juillet 2018
    Messages
    120
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Russie

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2018
    Messages : 120
    Points : 599
    Points
    599
    Par défaut
    "par erreur" et "plus de 1 an et demi" ne font jamais bon ménages

  3. #3
    Membre averti
    Profil pro
    Développeur
    Inscrit en
    Octobre 2008
    Messages
    122
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : Octobre 2008
    Messages : 122
    Points : 426
    Points
    426
    Par défaut
    Plus c'est gros plus c'est bon, plus c'est long plus c'est bon.
    Je sais pas comment c'est possible d’être a ce point incompétent, j'irai même jusqu’à dire que je n'arrive pas a comprendre qu'on puisse être en poste tout en étant aussi stupide.

  4. #4
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 789
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 789
    Points : 7 276
    Points
    7 276
    Par défaut
    Oh la gaffe...

    Les données, même anonymisées, doivent être mise sur un serveur de test isolé du réseau au minimum. On peut comprendre le presta qui forme : jamais de la vie il ne donnerait des données réelles comme ça.

  5. #5
    Membre éprouvé Avatar de pcdwarf
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Février 2010
    Messages
    269
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Février 2010
    Messages : 269
    Points : 976
    Points
    976
    Par défaut
    et ça continuera tant que la tech sera déployée sans réflexion pour des raison de modernité ou de mode sans se préoccuper de la formation du personnel.

    dans ces domaines là, le papier, c'était pas si mal... C'est pas que les fuites n'existaient pas mais de là à exposer toute une bdd...

  6. #6
    Membre extrêmement actif
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2022
    Messages
    755
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Août 2022
    Messages : 755
    Points : 0
    Points
    0
    Par défaut
    Attend.

    On est entrain de parler de l'un des plus grands scandale de France depuis des années et ça passe sur un article de developpez.net comme si de rien était et nulle part ailleurs ?

    Mais on rêve ?!

  7. #7
    Membre chevronné
    Profil pro
    Inscrit en
    Mai 2006
    Messages
    721
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Mai 2006
    Messages : 721
    Points : 1 880
    Points
    1 880
    Par défaut
    Citation Envoyé par HaryRoseAndMac Voir le message
    l'un des plus grands scandale de France depuis des années
    Loin de là. Il y a bien pire qui arrive régulièrement en terme de fuites, surtout avec le ransomware actuellement.
    Tout le monde dit qu'il faudrait travailler avec des données anonymisées et c'est juste mais pour la plupart des équipes dev c'est un voeu pieux. L'outil n'existe pas ou est incomplet, il faudrait le mettre en place
    C'est comme la sécurité proactive, ça fait partie de ces tâches qui ne rapportent pas d'argent et sont donc négligées. Peut-être que les amendes vont faire évoluer cette mentalité à terme... on peut rêver.

    Quand on y pense ce n'est pas aussi simple.
    Il n'y a pas si longtemps j'ai participé à un dév ERP, et évidemment la DB est très grosse. Certes, on peut faire tourner un script d'anonymisation dessus mais ça va mettre des plombes. Et surtout, la DB évolue en structure et données, du coup on ne peut pas éternellement rester sur une DB "anonymisée" de dev. Il y a un moment où il faudrait recommencer la manip et c'est long.
    Donc voilà comment ça se passe dans la vraie vie

  8. #8
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 789
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 789
    Points : 7 276
    Points
    7 276
    Par défaut
    Citation Envoyé par HaryRoseAndMac Voir le message
    Attend.

    On est entrain de parler de l'un des plus grands scandale de France depuis des années et ça passe sur un article de developpez.net comme si de rien était et nulle part ailleurs ?

    Mais on rêve ?!
    Avant qu'on parle de cybersécurité, avant même Snowden, le ministère des armées et le ministère de l'économie et des finances se sont fait powned respectivement par les russes et les chinois. Tous les secrets militaires et toutes les données des entreprises payant des impôts en France ont été espionnés à 3 mois d'intervalle l'hiver 2013 (source lefigaro.fr). Au printemps, Snowden faisait ses révélations.

    Mais plus récemment, les hôpitaux, les conseils régionaux, les départements se font régulièrement cracker par des ransomwares. Et il ne s'agit que de la surface de l'iceberg mais l'ANSSI révèle que 108 incidents de fuite de données ont eu lieu en 2022 dans le monde restreint des acteurs sensibles dont elle a la charge (source ziff davis). Et ça, ça ne se retrouve pas dans les journaux ou sur le web.

  9. #9
    Membre extrêmement actif
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2022
    Messages
    755
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Août 2022
    Messages : 755
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par marsupial Voir le message
    Avant qu'on parle de cybersécurité, avant même Snowden, le ministère des armées et le ministère de l'économie et des finances se sont fait powned respectivement par les russes et les chinois. Tous les secrets militaires et toutes les données des entreprises payant des impôts en France ont été espionnés à 3 mois d'intervalle l'hiver 2013 (source lefigaro.fr). Au printemps, Snowden faisait ses révélations.

    Mais plus récemment, les hôpitaux, les conseils régionaux, les départements se font régulièrement cracker par des ransomwares. Et il ne s'agit que de la surface de l'iceberg mais l'ANSSI révèle que 108 incidents de fuite de données ont eu lieu en 2022 dans le monde restreint des acteurs sensibles dont elle a la charge (source ziff davis). Et ça, ça ne se retrouve pas dans les journaux ou sur le web.
    En même temps, on a des organes comme l'ANSSI avec les mecs les plus compétents de France et au lieu de passer par eux ou par des Freelances ultra compétents, les grosses boites Françaises, voir, les entreprises publiques Françaises préfèrent passer par leur copains qui se pistonnent entre eux depuis 20 ans : les ESN.

  10. #10
    Membre du Club
    Homme Profil pro
    je ne suis pas en recherche d'emploi
    Inscrit en
    Décembre 2012
    Messages
    19
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 82
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : je ne suis pas en recherche d'emploi
    Secteur : Conseil

    Informations forums :
    Inscription : Décembre 2012
    Messages : 19
    Points : 56
    Points
    56
    Par défaut Question de paille et de poutres dans les yeux ...
    10 000 allocataires de la CAF de Gironde mises en ligne par erreur : allumez le feu , que les bûchés purifie tout cela !

    Certes on peut parler de 'scandâle innacceptâble' ... toutefois la divulgation imbécile de tous nos petits secrets dans les pages facebook : là , on est plus à la même échelle .

    Nous devons parler dans ce cas de figure de milliards de milliards de divulgations de nos moindres failles qui permettent 'TOUT' aux mal-intentionnés qui font école en cette grandiose époque de " transparence ".

    Depuis les cartes de maisons vides , aux troupeaux de jeunes filles consommables avec mode d'emploi , jusqu'aux dons d'organes pas vraiment consentis ...

    Les marchés sont ouverts : XXXX$ qui dit mieux , yyyy FS , ... , j'adjuge !

    Je ne sais pas pour vous , mais moi je trouve qu'on devrait quand même faire quelque chose ; non assistance à personne en danger ... ça ne vous dit rien ?

    Cordialement , Paradoxalix

Discussions similaires

  1. XAgent : un malware qui dérobe les données personnelles sous iOS
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 0
    Dernier message: 05/02/2015, 12h16
  2. Service de messager respectant les données personnelles
    Par LinuxUser dans le forum Internet
    Réponses: 0
    Dernier message: 23/08/2013, 20h37
  3. Réponses: 1
    Dernier message: 08/10/2010, 17h49
  4. Modifier les données personnelles sur PHP Yellow Pages
    Par aRKhamTaro dans le forum Certifications
    Réponses: 2
    Dernier message: 10/07/2009, 09h41
  5. [EasyPHP] Répertoire pour les données personnelles
    Par Mathieu72 dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 5
    Dernier message: 07/09/2008, 01h43

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo