Le syndicat FO Justice laissait les RIB de ses adhérents en accès libre sur son site

Alors que la Justice luttait contre des attentats visant ses membres, c'est du plus mauvais effet...

Négligeant les règles de sécurité les plus élémentaires, le syndicat laissait un accès complet à la liste des relevés d'identité bancaire de ses adhérents qui avaient choisi ce moyen de paiement pour régler leur cotisation.

Vous lisez un article réservé aux abonnés.

Dans un communiqué bariolé du 26 avril (encore un), le syndicat FO Justice appelait l'État a prendre des mesures rapides et concrètes contre ceux qui lançaient des attaques envers les personnels du ministère. Depuis quelques temps en effet, des membres d'un mystérieux « DDPF », (pour Défense des prisonniers français) revendiquait des actions violentes (souvent des incendies) contre des prisons, des domiciles et des véhicules d'agents pénitentiaires. Une série d'arrestations a eu lieu depuis, révélant que le gang DZ Mafia de narcotraficants serait l'instigateur de ces attaques. On comprend bien l'indignation de FO Justice. Ce qui est plus difficile à comprendre, c'est que le syndicat ait si peu d'intérêt pour ses membres, qu'il n'ait pas mis en place les méthodes les plus basiques de protection informatique pour éviter que les relevés d'identité bancaires de ses adhérents ne se retrouvent en accès libre sur leur site. Car ce sont les noms et les adresses de dizaines de fonctionnaires qui trainaient là pendant que le gagng DZ Mafia les visait.

Pourtant FO Justice s'émouvait sincèrement, n'hésitant à pas user des majuscules pour montrer son agacement et des couleurs bariolées pour... On ne sait pas :

Les actes de terrorisme visant les agents pénitentiaires, qu’ils interviennent dans les établissements, à leur domicile, à leur sortie de service ou en mission, SONT D’UNE GRAVITÉ SANS PRÉCÉDENT et laissent des cicatrices profondes, physiques et psychologiques, chez celles et ceux qui assurent notre sécurité, appliquent les décisions de justice et maintiennent l’ordre dans notre pays. Aujourd’hui, il est urgent que l’État, par le biais de la Fonction Publique d’État, débloque sans délai des fonds spécifiques pour venir en aide aux victimes, à leurs familles. Cette aide ne doit pas se limiter à un soutien financier, elle doit également inclure des mesures concrètes telles que la mise à disposition de logements de secours, en coordination avec les préfets de région et les Sections Régionales Interministérielles d’Action Sociale (SRIAS).

Pendant ce temps sur son site, la liste des répertoires qui contiennent les fichiers et à la laquelle le visiteur n'est pas censé avoir accès s'étalait :

Dans cette liste, on trouve celui qui fait partie d'un « plugin » utilisé sur les sites marchands. C'est ici que sont stockées les pièces-jointes fournies par les visiteurs lorsqu'ils remplissent leur caddie virtuel. En l'occurence, les relevés d'identité bancaires pour ceux qui veulent payer leur adhésion directement depuis leur compte en banque et non par carte bancaire.

Bilan des courses, un visiteur trop curieux pouvait aller regarder ce qui trainait dans le répertoire cité plus haut. Et là une liste conséquente de relevés d'identité bancaire avec noms et adresses des adhérents s'offrait sans protection aucune. Cette situation a probablement duré depuis que FO Justice a permis d'adhérer en ligne avec un RIB jusqu'à ce que Reflets les prévienne. Sur la WaybackMachine, on trouve trace de l'adhésion en ligne à partir de 2022.

Ce défaut de sécurité est absolument trivial et démontre qu'aucune vérification ni aucune mesure de sécurité n'avaient été entreprises sur le site Web de FO Justice. C'est faire bien peu de cas des données personnelles de ses adhérents, mais c'est aussi un délit. Un délit qui n'est jamais poursuivi en France parce que... On ne sait pas.

Et cela fait depuis 1997 que cela dure.