Sous la pression de la CNIL, le PS finit par colmater ses fuites
Il aura fallu lourdement insister pour que le Parti Socialiste daigne colmater une vulnérabilité de son site Web exposant rien moins que les données personnelles de ses adhérents. Le blog Zataz, spécialisé dans la sécurité, raconte comment les responsables du parti ont ignoré ses alertes à répétition. Voici environ 3 semaines, Zataz découvre une faille affectant « un sous-domaine du site Internet du Parti Socialiste ». Un lien vers le sous-dossier « Archives » du site permet d'ouvrir un espace d'administration sur le portail et d'accéder aux données de l'espace adhésion. Là, rangées dans des catégories (en attente de traitement, transmise, non finalisée, effective), figurent les données personnelles des adhérents (noms, prénoms, adresses, montants des cotisations.).
La CNIL s'en mêle et tout se démêle
Le blogueur Damien Bancal tente alors d'avertir le parti de cette fuite, sollicitant le service de presse ainsi que les responsables informatiques. Faute de réponse, il interpelle aussi l'un des DSI sur Twitter, qui le renvoie vers le service communication du PS ! Notons que le compte Twitter du responsable informatique en question a depuis disparu. « Je me suis résolu à contacter des élus du PS officiant dans ma région, ainsi que la CNIL. Autant dire qu'avec la prestigieuse dame, cela n'aura pas pris trois semaines, explique Damien Bancal, dans un billet. Deux heures après mon alerte à la Commission Nationale Informatique et des Libertés, l'étonnant accès disparaissait du web. » Preuve que la faille en question pouvait facilement être comblée. à condition de savoir s'adresser aux responsables du PS apparemment sourds à des avertissements n'émanant pas d'une autorité publique.
Contacté, le Parti Socialiste explique être bien au courant de l'affaire sans toutefois confirmer la réalité de la faille. Le service de presse de l'organisation a toutefois promis à Silicon.fr une mise en relation avec un interlocuteur au fait des questions de sécurité sur le site.
A lire aussi :
Lire aussi : RGPD : Cegedim Santé condamné à 800 000 $
Chez Ricard, les données personnelles étaient en open bar
Protection des données : la Cnil tape sur les doigts de Numericable
Sur le même thème
Voir tous les articles Cybersécurité