Thursday, February 24, 2011

Fuite de données pour un site de l´UMP

Fuite de données pour un site de l´UMP: "Fuite de données pour un site de l´UMP
Publié le 24-02-2011 à 01:07:55 dans le thème Réseau - Sécurité
Pays : France - Auteur : Damien Bancal

Pub : Stars-buzz.com : Actualites décalées musique, cine, BD, tv et web

*
*
*
*
*
*

Note des lecteurs: 3.8/5

Un des sites Internet de la galaxie web de l´UMP laisse en accès libre des centaines d´informations privées d´adhérents. Numéros de téléphone, identités, adresses postales, cotisations, numéro d'adhérents, ... le site Internet de la section 64 4 de l'UMP, le parti politique au pouvoir en France, laisse accessible depuis au moins 8 mois des données sensibles et privées appartenant à des membres de la section Viennoise du groupe de pensée de Nicolas Sarkozy. Les administrateurs du site ont été contactés par courrier électronique, via notre protocole d'alerte [HaideD 758], et cela depuis le début du mois de janvier 2011. ZATAZ.COM a pu constater que plus d'un mois après notre alerte, les informations privées et sensibles sont toujours accessibles. D'autres données sont mêmes venues se rajouter depuis. Bref, voilà ce qui arrive à force de penser que l'on peut tout stocker sur un serveur web.



Une affaire, sur le papier, qui peut coûter cher au fautif. La loi informatique et liberté (CNIL) punit ce type de fuite d'informations nominatives d'une sanction pouvant atteindre 5 ans d'emprisonnement et 300 000 € d'amende (art. 226-17 du code pénal). La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende. (art. 226-22 du code pénal). Il suffirait qu'un seul 'adhérent' inclus dans cette liste dépose plainte, auprès de la CNIL.

En matière de fuite de données, nombre de pays dans le monde ont fait le choix de la transparence et de faire en sorte que les entreprises déclarent leurs pertes de données. Ce concept de « Data Breach Notification » venu des États-Unis et dont se sont inspirés à divers degrés le Royaume-Uni, l’Allemagne, mais aussi l’Autriche, la Lituanie, l’Estonie et la République Tchèque, intéresse autant qu’il inquiète. En France, pour le moment, le projet de loi publié le 23 mars 2010 à l’instigation d’Anne-Marie Escoffier et de Yves Détraigne, a ouvert la porte à une éventuelle obligation légale de notification à la Cnil des failles de sécurité (cf. l'article 7, visant à renforcer l'article 34 de la loi informatique et libertés). Si elle venait à se confirmer, cette éventuelle obligation que nous avons baptisé 'Amendement ZATAZ' transposerait par anticipation la directive européenne 2002/58/CE concernant la vie privée dans le secteur des communications électroniques. Mais, à première vue, la loi ne semble pas être prévue pour le moment. Au grand bonheur des 'fuiteurs', mais pour le plus grand malheur des internautes Français, victimes de plus en plus nombreuses des fuites de données.

En 2010, ZATAZ a aidé, via son protocole d'alerte, 1 589 entreprises, associations et particuliers Français. Près de 500 millions de données ont pu être protégées grâce à l'intervention de la communauté (lecteurs, amis, ...) de ZATAZ.COM. [Lire notre rapport 2010]. A noter que nos interventions ont été récompensées, pour la troisième fois, par Microsoft et son Microsoft Security Response Center. Pour le mois de janvier nous étions déjà à 203 alertes [Faire un don pour soutenir l'action du protocole d'alerte de ZATAZ.COM].



Mise à jour : Le siége national de l'UMP a pris en main l'affaire assez rapidement. Le service 'informatique' de l'UMP a contacté le siége de la Fédération de la Vienne. Le site 'fuiteur' a été rapidement mis hors service. Les fichiers, un backup d'une base de données SQL et plusieurs documents Excel. Ils étaient accessibles, via le moteur de recherche Google (liens directs et cache).

– Envoyé à l'aide de la barre d'outils Google"

No comments:

Liste de partage de girtabaix

Followers

Blog Archive