Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Protection des données personnelles : oui... on se fout bien de votre gueule !

La politique numérique française, sur le dernier mandat présidentiel, c'est une LOPPSI, deux HADOPI, un peu de masturbation intellectuelle autour du droit à l'oubli, et des MILLIONS d'abonnés qui surfent en THD (à 30 mégas en download et 1 méga en upload, par temps clair et le vent dans le dos).

La politique numérique française, sur le dernier mandat présidentiel, c'est une LOPPSI, deux HADOPI, un peu de masturbation intellectuelle autour du droit à l'oubli, et des MILLIONS d'abonnés qui surfent en THD (à 30 mégas en download et 1 méga en upload, par temps clair et le vent dans le dos). Mais on retiendra principalement deux choses : un texte sécuritaire introduisant l'utilisation de mouchards électroniques et le cache sexe du blocage de sites web (LOPPSI), et un autre prohibant l'échange non commercial de la culture sur les réseaux P2P, amendes et coupures d'accès Internet à la clé (HADOPI).

Aujourd'hui, c'est un jour comme les autres, comme tous les autres. On nous signale qu'un opérateur de téléphonie mobile, qui a la bonne idée d'indiquer le mot de passe (à 4 chiffres!!) d'accès au compte client sur toutes les factures (il y a des claques qui se perdent), est victime d'un superbe trou de sécurité. Souhaitant prendre contact avec cet opérateur, nous suivons la procédure habituelle, un petit Whois sur le nom de domaine, un mail à ce qui sert d'abuse@ ... et comme d'habitude... mail inexistant.

Nous tentons donc le mail du registrant, toujours obtenu dans le Whois, avec une adresse email qui n'a rien à voir de prime abord avec l'opérateur en question... et paf toujours rien. Petite vérification faite sur Linked-In, la personne en question a quitté l'opérateur depuis 2008. Et oui, depuis 2008, il est donc impossible de signaler quoi que ce soit par ce biais à l'entreprise. Ce qui devrait être une obligation légale pour les entreprises qui manipulent des quantités très importantes de données personnelles, est, comme d'habitude, une vaste fumisterie (pas de mail de contact technique, des adresses périmées depuis des lustres qui arrivent dans /dev/null).

Delivery to the following recipient failed permanently:
    l *********@********.fr
Technical details of permanent failure:
Google tried to deliver your message, but it was rejected 

by the recipient domain. We recommend contacting the other

email provider for further information about the cause of

this error. The error that the other server returned was:

550 550 User unknown (state 14).
----- Original message -----
Received: by 10.213.10.212 with SMTP id q20mr189761ebq.127.1317207073695;

Wed, 28 Sep 2011 03:51:13 -0700 (PDT)

Return-Path: <bluetouff@bluetouff.com>

Received: from [192.168.0.18] (89-156- ***-***.rev.numericable.fr.

[89.156. ***.*** )

by mx.google.com with ESMTPS id f16sm39952932eec.8.2011.09.28.03.51.12

(version=TLSv1/SSLv3 cipher=OTHER);

Wed, 28 Sep 2011 03:51:12 -0700 (PDT)

From: Olivier <bluetouff@bluetouff.com>

Content-Type: text/plain; charset=windows-1252

Content-Transfer-Encoding: quoted-printable

Subject: test

Date: Wed, 28 Sep 2011 12:51:20 +0200

Message-Id: <CCE4E35B-AC7A-41C9-8A45-258AB14D98E1@bluetouff.com>

To: l **********@p******.fr

Nous avons donc contacté l'opérateur via son formulaire de contact il y a plusieurs heures... toujours rien. Ce mail devrait en toute logique passer à trappe, à moins que... nous écrivions cet article... et encore, c'est pas gagné. Nous avons cependant conservé notre screenshot, et surtout l'accusé de réception de cette demande de contact en attendant qu'un "angel" daigne nous demander plus de précisions.

Et là, Reflets commence à bouillir de rage.

  • Toujours aucun moyen de contacter un interlocuteur compétent dans l'entreprise victime de cette fuite ;
  • Toujours cette envie de soit ne rien dire et laisser à d'autres le soin d'exploiter ces fuites, soit, et c'est ce qui motive l'écriture de cet article, de le crier très fort dans les Internets pour que les clients dont les données ont fuité en soient informés.

De notre expérience, ce qui touche à la sécurité informatique, en France, est un tabou. Les cas où les entreprises préviennent leurs clients victimes de fuites de données, se comptent sur les doigts de la main. En France, on ne dit rien, les trous de sécurité, les fuites de données personnelles, c'est le genre de trucs qui n'arrivent qu'aux diplomates américains.

Mais ils ont foutu quoi au Parlement ces cinq dernières années au juste sur le plan du numérique ? Et bien pour faire passer un texte aussi idiot qu'HADOPI, il a fallu s'y reprendre à deux fois. Ça a coûté un demi milliard d'euros au contribuable (on est en crise voyez vous, et comme on compte sur Universal Music pour solder notre dette souveraine, il fallait bien ça).

Si le flicage, le fichage et la censure sont les trois mamelles de la politique numérique à la sauce Nicolas Sarkozy, permettez que l'on s'étonne, qu'en 2011, après ce qu'il convient d'appeler le règne d'un sénateur UMP sur cette autorité oh combien indépendante qu'est la CNIL... RIEN strictement RIEN n'ait été fait devant les menaces grandissantes qui pèsent sur la vie privée de nos concitoyens. Au passage voici un petit rappel de la notion d'indépendance d'une Haute Autorité à la sauce française, ou la composition du collège de la CNIL  (source):

  • 4 parlementaires (2 députés, 2 sénateurs)
  • 2 membres du Conseil économique, social et environnemental ;
  • 6 représentants des hautes juridictions (2 conseillers d’État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des comptes)
  • 5 personnalités qualifiées désignées par le Conseil des ministres (3), le Président de l’Assemblée nationale (1) et le Président du Sénat (1).

... et oui vu comme ça il est déjà moins étonnant de voir passer des lois sécuritaires débiles alors que pendant ce temps, les droits et les libertés numériques élémentaires échappent totalement aux internautes français. Et bien désolé, mais chez Reflets, ça nous donne envie de hurler. La politique du brossage dans le sens du poil des poids lourds du CAC 40 au détriment du bien commun, l'inverse de ce à quoi tout représentant de la nation est tenu, on en a raz la casquette.

L'exemple qui nous concerne aujourd'hui, le voici :

Il semble que notre précédente secrétaire d'État à l'Économie Numérique, comme nous vous l'avions d'ailleurs expliqué ici, ne servait vraiment à rien. Pire, elle se serait même opposée à la proposition Détraigne Escoffier, alors qu'elle a brillé par son absence sur TOUS les débats où on attendait de sa part un minimum d'engagement :

Le texte ne sera probablement jamais adopté, au bénéfice d'une transposition édulcorée du Paquet Telecom qui permettra aux entreprises de conserver une opacité totale (avec la complicité de la CNIL) sur des questions aussi importantes que la compromission des données personnelles de leurs clients, une réalité qui pourrit la vie à des milliers de personnes en France à l'heure même où nous écrivons ces lignes, avec un phénomène grandissant, celui de l'usurpation d'identité, contre lequel LOPPSI prévoit un arsenal répressif sans apporter AUCUNE solution en amont. Et là nous parlons de sensibilisation, de prévention et de sanctions à destination des entreprises qui se la joueraient un peu trop à la TMG et ne sont pas même fichues de coller un mail de contact technique valide dans un Whois. Et la CNIL, comme notre ancienne secrétaire d'État... ne sert à rien.

Attendez, c'est pas terminé... Là c'était juste l'échauffement.

Reflets ne cautionne pas les publications massives de données personnelles, mais voilà, notre expérience nous montre que c'est dans de bien trop nombreux cas le seul moyen de faire en sorte que les véritables victimes, les clients, soient informés d'une potentielle fuite de leurs données personnelles. Quoi qu'en dise l'amie Marland Militello qui souhaite doubler les peines des personnes qui trouvent et exploitent des failles, nous vous apportons aujourd'hui, une fois de plus, un cas concret qui met en évidence toute l'absurdité de mesures répondant à des problématiques non comprises de ceux qui entendent faire des lois.

Aussi nous avons choisi a plusieurs reprises une solution intermédiaire qui ne laisse plus le choix aux dites entreprises d'informer ou non leurs clients de ces fuites (sinon, nous le faisons nous même):

  1. nous rendons public l'existence d'une faille sans en préciser la nature
  2. si aucun moyen de contact satisfaisant (un mail valide dans un Whois, c'est le strict minimum syndical), nous les contactons publiquement sur Twitter
  3. nous patientons gentiment d'être recontactés, et pour être bien assurés qu'on ne nous oublie pas, on publie sur Reflets un billet, lui aussi bien public, qui ne révèle rien des détails techniques de la vulnérabilité
  4. nous laissons le soin à l'entreprise d'avertir ses clients, dans le cas contraire, nous publions notre avis.

Tout ça pour vous dire, que si votre opérateur est détendu du mobile, vous avez de bonnes raisons de l'appeler pour lui signifier que côté protection de vos données personnelles, c'est quand même vachement tendu.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée