S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
À la Une
Politique
par bluetouff

La France Droite a un site web de travers qui pisse des adhérents de test

C'est l'excellent @spiwit qui vient de nous remonter une chouette fuite de données personnelles. Celle-ci concerne La France Droite, le mouvement de Nathalie Kosciusko-Morizet. Avant de briguer un parachutage à la mairie de Paris NKM a quand même été Secrétaire d'État chargée de la Prospective et du développement de l’Économie numérique.

datapers
datapers

C'est l'excellent @spiwit qui vient de nous remonter une chouette fuite de données personnelles. Celle-ci concerne La France Droite, le mouvement de Nathalie Kosciusko-Morizet. Avant de briguer un parachutage à la mairie de Paris NKM a quand même été Secrétaire d'État chargée de la Prospective et du développement de l’Économie numérique. À ce titre, elle ne peut ignorer qu'Internet est un espace public, et comme il s'agit d'un espace public, qu'il faut éviter de faire n'importe quoi avec les fichiers adhérents qui regorgent de données personnelles. Elle ne peut ignorer non plus que quand on stocke contre vents et marées des données personnelles sur un système de traitement automatisé de données connecté à un réseau public, la moindre des choses à faire est de s'assurer que le strict minimum en matière de sécurité a été fait... que l'état de l'art de la configuration basique d'un Wordpress (le CMS qui propulse LaFranceDroite) a été respecté.

Dans son empressement à se créer un club de soutien pour conquérir la capitale, il semblerait que l'équipe de NKM, non contente de ne pas lire la documentation de base de l'installation et de la sécurisation de Wordpress, ait en plus eu le bon goût de stocker tout et n'importe quoi... n'importe où.

Nous avons donc découvert avec amusement les adhérents... enfin c'est surement des adhérents de test hein... de La France Droite, ainsi qu'un beau paquet de données personnelles elles aussi, à n'en pas douter, de test.

Ces données personnelles de test, sont les suivantes :

  • Nom et prénom de test ;
  • Date de naissance de test ;
  • Adresse de test ;
  • Email de test ;
  • numéro de téléphone de test ;
  • Mots de passe en clair ! ... de test bien évidemment.

Autre donnée très intéressante, il est renseigné un champs "carte" qui laisse à penser que cette base de données est croisée avec celle du fichier adhérents des encartés de l'UMP... bravoooooo ! Si un dissident UMP se présente à Paris, il pourra en ce sens exiger d'accéder lui aussi au précieux Graal, le fichier des irréductibles d'une espèce en voie de disparition.

test
test

A en croire le nombre des ses adhérents de test, on peut en déduire que c'est loin d'être gagné pour NKM. On en dénombre très exactement 1029. Les deux fichiers, au format CSV, sont très probablement soit des exports d'un fichier Excel uploadé "là où il fallait pas" par un webmaster totalement incompétent, soit des extractions de la base de données du site web elle-même, ce qui ne ferait que confirmer les coups de pieds aux fesses aux développeurs qui se perdent s'ils procèdent à ce genre d'extraction sans être fichus de vérifier le vhost ou le .htaccess est correctement renseigné.

Une impression confortée quand on se penche sur le formulaire de contact et le redoutable dispositif antispam mis en place :

jk
jk

Autre petit trick Wordpress à destination de l'équipe de bras cassés de NKM, quand on ne sait pas installer Wordpress ou configurer son Apache correctement (ouais bon ok, là c'est du mutualisé OVH), on évite d'installer WP-TotalCache qui pisse des données temporaires.

Pour conclure dans les petits tips... on ajoutera que même si vous n'êtes pas super fiers de votre travail, c'est toujours cool de mentionner dans le whois ou sur le site un contact technique afin que l'on puisse vous contacter en cas de fuites de passwords d'adhérents de test.

Il va de soi que ces fichiers d'adhérents de test n'ont strictement rien à faire dans un répertoire parfaitement PUBLIC.

Bref, on a pas fini de rigoler avec la bande de bras cassés du Net qui va sévir pendant cette campagne municipale. Mais quand la CNIL aura t-elle le pouvoir de contraindre les politiques à mener le minimum de tests nécessaires avant la mise en ligne d'une application web manipulant des données personnelles, à plus juste titre encore quand ces données personnelles expriment des opinions politiques ou religieuses !

*** UPDATE :

Comme mentionné un peu plus haut, nous avons découvert une colonne assez intéressante dans le fichier adhérents au club NKM la France Droite. Il s'agit de la colonne "carte adhérent". Cette colonne, renseignée par un Oui/Non, laisse à supposer qu'il s'agit de la carte d'adhésion à l'UMP dont il est fait mention. Et là, mauvaise lecture de notre part... NKM n'est pas candidate officielle désignée de l'UMP, mais candidate à la "primaire ouverte". Devant l'évidence du croisement du fichier adhérent UMP avec ses sympatisans, nous saurons très bientôt si les autres candidats déclarés de l'UMP auront eux aussi, comme NKM, accès à ce fichier des adhérents, ou si une fois de plus, les petites guéguerres de la droite de travers privilégieront le parachutage de NKM en refusant l'accès à ce fichier aux autres candidats. Vous l'aurez donc compris, nous allons tenir ces prochains mois à l'oeil les grandes manoeuvres de la Fédération UMP de Paris.

up
up

*** UPDATE 2 : Nous sommes rentrés en contact avec l'équipe de La France Droite qui nous a confirmé ne PAS être en possession du fichier national des adhérents de l'UMP. La colonne que nous pointions du doigt dans notre article est une colone relative à l'adhésion à La France Droite et non à l'UMP.

Les fichiers CSV se seraient retrouvés ici suite à une procédure d'importation de la base adhérents de la France Droite dans Wordpress.

Les corrections nécessaires seront portées rapidement pour interdire l'accès aux fichiers du CMS qui n'ont pas à être accessibles.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée