Journal d'investigation en ligne
Dossier
par Antoine Champagne - kitetoa

Compromission possible de données personnelles à l'Éducation nationale

Comment, en une fuite, la CNIL, BVA et l'EN ont tué l'essence du RGPD

En toute discrétion, le ministère a prévenu des parents qui figuraient sur un de ses listings, d'une possible fuite de données personnelles après une attaque au ransomware chez l'institut de sondages BVA. Mais lorsque l'on demande des précisions, il n'y a plus personne. Et des données provenant d'autres ministères sont concernés par cette attaque informatique.

BVA annonce l'attaque contre son système d'information - Copie d'écran
Vous lisez un article réservé aux abonnés.

« Bienvenue sur le serveur vocal de la CNIL (...) si vous voulez joindre le standard, tapez 1... (...) Désolés, la messagerie Orange du 06.07.... que vous tentez de joindre est pleine. Au revoir ». L'affaire est bien engagée. Tenter de joindre la Commission nationale de l'Informatique et des libertés (CNIL) en ces temps de pandémie relève du défi impossible. Le disque du standard renvoie sur un numéro de portable dont la messagerie est pleine. Joints via Twitter en messages privés, les gardiens français du RGPD nous invitent à remplir un formulaire de contact sur le site de la CNIL... Une démarche qui restera elle aussi sans suite. La CNIL ne nous a jamais rappelés. C'est dommage car nous souhaitions interroger la Commission sur une éventuelle fuite de données de parents d'élèves de l'Éducation nationale, cette dernière ayant sous-traité une enquête à BVA, un groupe spécialisé dans les études et le conseil. Or BVA a fait l'objet en février dernier d'une attaque par ransomware.

Dans ce type d'attaque, désormais très fréquente, les données de l'entreprises sont chiffrées et deviennent inaccessibles. L'attaquant demande une rançon en échange d'une clef permettant de déchiffrer. Il arrive que l'attaquant publie une partie des données (Lien vers un serveur sur Tor) pour montrer qu'il les a récupérées et qu'il menace, en plus du blocage de l'activité, de publier des données confidentielles sur Internet. Histoire d'accélérer le règlement de la rançon.

Lorsque des données personnelles collectées par une entreprise sont mises en danger (c'est le cas ici), celle-ci est tenue de notifier la CNIL. C'est une avancée du RGPD. Pour une compréhension totale de ce qu'est le Règlement général sur la protection des données personnelles, il faut se référer au dossier de Marc Rees sur NextInpact.

Sur son site, la CNIL précise les obligations des entreprises en cas de fuite potentielle :

Que faire en cas de violation ? Dans tous les cas, vous devez documenter en interne l’incident en déterminant :

  • la nature de la violation
  • si possible, les catégories et le nombre approximatif de personnes concernées par la violation
  • les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
  • décrire les conséquences probables de la violation de données ;
  • décrire les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.

Le document récapitulatif de votre notification à la CNIL permet de répondre à l’obligation de documentation interne.

Si l’incident constitue un risque au regard de la vie privée des personnes concernées, vous devrez notifier l’incident à la CNIL.

En cas de risque élevé, vous devez également notifier les personnes concernées.

En cas de doute, notifiez à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes.

La notification des personnes concernées est donc nécessaire en cas de risque « élevé ». Étant entendu que BVA, puis l'éducation nationale ont prévenu les personnes concernées, on en déduit que le risque de fuite était élevé. Mais comment savoir avec certitude puisque ni la CNIL ni BVA n'ont souhaité répondre à nos questions ? La CNIL est restée injoignable, n'a pas répondu à nos demandes d'entretien. Pas plus que Arnold Haine, qui signe sur le site de BVA la page annonçant l'incident de sécurité. Plusieurs appels, deux messages laissés au standard pour qu'il nous rappelle ne l'ont pas motivé à nous répondre.

La publication d'informations sur cet incident par BVA est très en deçà de ce que la CNIL préconise de documenter sur un incident :

Comme de très nombreuses entreprises, dans tous les secteurs d’activité, BVA Group a été victime d’une cyberattaque du type ransomware au cours du mois de février.

Ses équipes techniques, avec le support des spécialistes d’IBM, ont rapidement rétabli l’intégrité de leurs systèmes informatiques, sans dommage pour l’exploitation.

BVA Group s’est rapproché de la CNIL et du procureur de la République pour procéder aux démarches qui s’imposent en pareil cas.

Les partenaires ou clients du groupe qui pouvaient être concernés par cet incident ont été contactés directement par les équipes.

La CNIL recommande aux victimes d'évaluer avec le plus de précision possible (voir plus haut) le nombre de personnes impliquées dans l'incident et dont les données pourraient avoir fuité.

La CNIL et BVA aux abonnés absents, l'Education nationale en mode vacances...

Ce n'est pas par la page de BVA que l'on saura quels clients sont concernés, combien de personnes sont potentiellement affectées.

Au mieux, sait-on que l'Éducation nationale est l'un des clients. Des parents ont ainsi reçu un courrier le 25 mars 2021, indiquant qu'en 2020, ils avaient été « tiré(e) au sort pour répondre à l'enquête DECCS sur les conséquences de la crise sanitaire, conduite par la direction de l'évaluation, de la prospective et de la performance (DEPP) du ministère de l'éducation nationale »

Quel rapport avec la fuite potentielle chez BVA ? « Notre prestataire, BVA, disposait de vos coordonnées afin de vous contacter dans ce cadre. BVA nous informe avoir fait l'objet d'une cyberattaque de type ransomware au cours du mois de février. La DEPP fait partie des clients concernés par cette cyberattaque. Lors de cette attaque, des données vous concernant peuvent avoir été compromises. Il s'agit de vos coordonnées (nom, prénom, adresse postale, téléphone, nom et prénom de votre enfant, école de scolarisation, classe). »

De quoi inquiéter un peu les parents qui ont reçu le courrier. D'autant, que comme l'indique l'un d'eux : « je suis toujours méfiant en matière de données personnelles. D'ailleurs, je n'avais pas répondu à cette enquête. » L'Éducation nationale semble donc prévenir l'ensemble des personnes qui ont été extraites de son fichiers pour les besoins de cette enquête, qu'elles y aient participé ou pas.

Mais pas d'inquiétude, les parents, ne craignez rien, tout est dans la crypte : « les données à caractère personnel vous concernant sont en majorité enregistrées par BVA sur un serveur crypté. »

En majorité ? Quel pourcentage, quelles données sont chiffrées ? Lesquelles ne le sont pas, pourquoi ? Mystère et boule de gomme. Nous avons vainement tenté d'être mis en contact avec la personne signataire de ce courrier, Madame Fabienne Rosenwald, directrice de la DEPP. Elle est en vacances et n'a pu que communiquer quelques réponses au service de presse du ministère qui a pu la joindre. Mais ces répondes ne diffèrent pas de ce qui est déjà dans le courrier envoyé aux parents, c'est à dire des éléments de langage tant et tant de fois lus et relus lors de fuites de données... Seule information nouvelle : le lien entre le ministère et BVA n'est pas un cas isolé. Il s'agit d'une prestation interministérielle pour des enquêtes et d'autres ministères sont concernés.

« Ainsi, poursuit le courrier, dans l'hypothèse où un tiers venait à y avoir accès, il ne pourrait en principe pas les lire. Nous vous précisons également que les données vous concernant n'ont pas été exposées sur Internet. » En principe ? Soit c'est chiffré et c'est illisible, soit les pirates détiennent une technologie quantique inconnue... Le flou technique n'apporte pas la sérénité souhaitée... Le ministère affirme que les données des parents n'ont pas été exposées sur Internet, mais il n'est pas possible à ce stade de savoir sur la base de quelles informations cette conclusion est tirée. Une recherche Google sur les noms des parents ? Une entreprise mandatée par le ministère pour s'en assurer ? Les « spécialistes d'IBM » qui aident BVA à « établir un audit complet » dont personne ne verra jamais la couleur à part le DSI de BVA ?

Cet épisode permet de s'interroger sur les avancées du RGPD pour les particuliers. A quoi sert un RGPD visant à créer plus de transparence sur la compromission des données personnelles si personne ne joue le jeu, si chaque acteur fait le mort et tente ainsi de ne pas répondre aux question de la presse, si les informations communiquées au public sont tellement minimalistes qu'il est impossible de savoir à quoi s'en tenir ?

3 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée