divendres, 9 d’abril de 2010

Chez le voisins Français. Fuite de de données i Cv´s a l´abast de tothom


Prenez un site Internet Ministériel, celui du Ministère de la Culture. Rajoutez-y un bug étonnant et vous voilà avec une fuite de plusieurs centaines de données appartenant aux visiteurs de ce site Étatique. ZATAZ.COM a pu constater un fichier statistique laissé en pâture sur le site culture.gouv.fr. Un fichier comprenant plusieurs milliers d'IP et le moyen de tracer l'adresse Internet (Lieu, ville, ...).
Le document reprenait les connexions du mois de février et le nombre d'accès par IP. ZATAZ.COM a pu constater une forte affluence Russes, indiennes et japonaises durant cette période. Ca sent les tentatives de piratage (DDoS).
Pour rappel, en août 2007, la CNIL rappelait que l'IP est une donnée personnelle. Pour d'autres, l'IP n'est rien d'autre qu'une plaque d'immatriculation, comme la plaque minéralogique des voitures. Il y a un an, nous étions alors en février 2009, la Chambre criminelle de la Cour de cassation déposait un arrêt qui stipulait clairement que la collecte des adresses IP n’est dorénavant plus soumise à la moindre autorisation préalable de la Commission nationale informatique et liberté (CNIL). En gros, n'importe qui peut aujourd'hui stocker de l'adresse IP.



Un site Internet Français spécialisé dans le conseil carrière et mobilité professionnelle ne protège pas les CV de ses utilisateurs.
Quoi de plus sensible qu'un CV ? Le site Internet Nucleo, spécialiste dans la rédaction de CV et de lettre de motivation, ne protège pas sur Internet les curriculum vitae de ses clients. Plutôt gênant, surtout pour des chercheurs d'emploi qui n'auraient pas encore averti leur employeur du moment. Sans parler de toutes les possibilités malveillantes que pourraient mettre en action un escroc. Si le site est pour le moment fermé pour "être au plus près des attentes de ses clients !" Il nous a été impossible de joindre la moindre personne, via notre protocole d'alerte [HaideD 330], afin de faire disparaitre les données sensibles et privées qui se promène sur la toile... depuis 2008, date du premier CV exposé. Le dernier est notifié au 1e avril 2010.