Il aura fallu lourdement insister pour que le Parti Socialiste daigne colmater une vulnérabilité de son site Web exposant rien moins que les données personnelles de ses adhérents. Le blog Zataz, spécialisé dans la sécurité, raconte comment les responsables du parti ont ignoré ses alertes à répétition. Voici environ 3 semaines, Zataz découvre une faille affectant « un sous-domaine du site Internet du Parti Socialiste ». Un lien vers le sous-dossier « Archives » du site permet d’ouvrir un espace d’administration sur le portail et d’accéder aux données de l’espace adhésion. Là, rangées dans des catégories (en attente de traitement, transmise, non finalisée, effective), figurent les données personnelles des adhérents (noms, prénoms, adresses, montants des cotisations…).
Le blogueur Damien Bancal tente alors d’avertir le parti de cette fuite, sollicitant le service de presse ainsi que les responsables informatiques. Faute de réponse, il interpelle aussi l’un des DSI sur Twitter, qui le renvoie vers le service communication du PS ! Notons que le compte Twitter du responsable informatique en question a depuis disparu. « Je me suis résolu à contacter des élus du PS officiant dans ma région, ainsi que la CNIL. Autant dire qu’avec la prestigieuse dame, cela n’aura pas pris trois semaines, explique Damien Bancal, dans un billet. Deux heures après mon alerte à la Commission Nationale Informatique et des Libertés, l’étonnant accès disparaissait du web. » Preuve que la faille en question pouvait facilement être comblée… à condition de savoir s’adresser aux responsables du PS apparemment sourds à des avertissements n’émanant pas d’une autorité publique.
Contacté, le Parti Socialiste explique être bien au courant de l’affaire sans toutefois confirmer la réalité de la faille. Le service de presse de l’organisation a toutefois promis à Silicon.fr une mise en relation avec un interlocuteur au fait des questions de sécurité sur le site.
A lire aussi :
Chez Ricard, les données personnelles étaient en open bar
Protection des données : la Cnil tape sur les doigts de Numericable
Loi Lemaire : la CNIL va-t-elle pouvoir montrer les crocs ?
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.