Compromission possible de données personnelles à l'Éducation nationale
Comment, en une fuite, la CNIL, BVA et l'EN ont tué l'essence du RGPD
En toute discrétion, le ministère a prévenu des parents qui figuraient sur un de ses listings, d'une possible fuite de données personnelles après une attaque au ransomware chez l'institut de sondages BVA. Mais lorsque l'on demande des précisions, il n'y a plus personne. Et des données provenant d'autres ministères sont concernés par cette attaque informatique.
« Bienvenue sur le serveur vocal de la CNIL (...) si vous voulez joindre le standard, tapez 1... (...) Désolés, la messagerie Orange du 06.07.... que vous tentez de joindre est pleine. Au revoir ». L'affaire est bien engagée. Tenter de joindre la Commission nationale de l'Informatique et des libertés (CNIL) en ces temps de pandémie relève du défi impossible. Le disque du standard renvoie sur un numéro de portable dont la messagerie est pleine. Joints via Twitter en messages privés, les gardiens français du RGPD nous invitent à remplir un formulaire de contact sur le site de la CNIL... Une démarche qui restera elle aussi sans suite. La CNIL ne nous a jamais rappelés. C'est dommage car nous souhaitions interroger la Commission sur une éventuelle fuite de données de parents d'élèves de l'Éducation nationale, cette dernière ayant sous-traité une enquête à BVA, un groupe spécialisé dans les études et le conseil. Or BVA a fait l'objet en février dernier d'une attaque par ransomware.
Dans ce type d'attaque, désormais très fréquente, les données de l'entreprises sont chiffrées et deviennent inaccessibles. L'attaquant demande une rançon en échange d'une clef permettant de déchiffrer. Il arrive que l'attaquant publie une partie des données (Lien vers un serveur sur Tor) pour montrer qu'il les a récupérées et qu'il menace, en plus du blocage de l'activité, de publier des données confidentielles sur Internet. Histoire...