Sous la pression de la CNIL, le PS finit par colmater ses fuites

Reynald Fléchaux,

Averti depuis trois semaines d’une faille permettant d’accéder aux données de ses adhérents, le Parti Socialiste s’est fait tirer l’oreille pour corriger la sécurité de son site. Jusqu’à ce que la CNIL se saisisse du sujet.

Il aura fallu lourdement insister pour que le Parti Socialiste daigne colmater une vulnérabilité de son site Web exposant rien moins que les données personnelles de ses adhérents. Le blog Zataz, spécialisé dans la sécurité, raconte comment les responsables du parti ont ignoré ses alertes à répétition. Voici environ 3 semaines, Zataz découvre une faille affectant « un sous-domaine du site Internet du Parti Socialiste ». Un lien vers le sous-dossier « Archives » du site permet d’ouvrir un espace d’administration sur le portail et d’accéder aux données de l’espace adhésion. Là, rangées dans des catégories (en attente de traitement, transmise, non finalisée, effective), figurent les données personnelles des adhérents (noms, prénoms, adresses, montants des cotisations…).

La CNIL s’en mêle et tout se démêle

Le blogueur Damien Bancal tente alors d’avertir le parti de cette fuite, sollicitant le service de presse ainsi que les responsables informatiques. Faute de réponse, il interpelle aussi l’un des DSI sur Twitter, qui le renvoie vers le service communication du PS ! Notons que le compte Twitter du responsable informatique en question a depuis disparu. « Je me suis résolu à contacter des élus du PS officiant dans ma région, ainsi que la CNIL. Autant dire qu’avec la prestigieuse dame, cela n’aura pas pris trois semaines, explique Damien Bancal, dans un billet. Deux heures après mon alerte à la Commission Nationale Informatique et des Libertés, l’étonnant accès disparaissait du web. » Preuve que la faille en question pouvait facilement être comblée… à condition de savoir s’adresser aux responsables du PS apparemment sourds à des avertissements n’émanant pas d’une autorité publique.

Contacté, le Parti Socialiste explique être bien au courant de l'affaire sans toutefois confirmer la réalité de la faille. Le service de presse de l'organisation a toutefois promis à Silicon.fr une mise en relation avec un interlocuteur au fait des questions de sécurité sur le site.

A lire aussi :

Chez Ricard, les données personnelles étaient en open bar

Protection des données : la Cnil tape sur les doigts de Numericable

Loi Lemaire : la CNIL va-t-elle pouvoir montrer les crocs ?