Protection des données personnelles : oui… on se fout bien de votre gueule !

privacyLa politique numérique française, sur le dernier mandat présidentiel, c’est une LOPPSI, deux HADOPI, un peu de masturbation intellectuelle autour du droit à l’oubli, et des MILLIONS d’abonnés qui surfent en THD (à 30 mégas en download et 1 méga en upload, par temps clair et le vent dans le dos). Mais on retiendra principalement deux choses : un texte sécuritaire introduisant l’utilisation de mouchards électroniques et le cache sexe du blocage de sites web (LOPPSI), et un autre prohibant l’échange non commercial de la culture sur les réseaux P2P, amendes et coupures d’accès Internet à la clé (HADOPI).

Aujourd’hui, c’est un jour comme les autres, comme tous les autres. On nous signale qu’un opérateur de téléphonie mobile, qui a la bonne idée d’indiquer le mot de passe (à 4 chiffres!!) d’accès au compte client sur toutes les factures (il y a des claques qui se perdent), est victime d’un superbe trou de sécurité. Souhaitant prendre contact avec cet opérateur, nous suivons la procédure habituelle, un petit Whois sur le nom de domaine, un mail à ce qui sert d’abuse@ … et comme d’habitude… mail inexistant.

Nous tentons donc le mail du registrant, toujours obtenu dans le Whois, avec une adresse email qui n’a rien à voir de prime abord avec l’opérateur en question… et paf toujours rien. Petite vérification faite sur Linked-In, la personne en question a quitté l’opérateur depuis 2008. Et oui, depuis 2008, il est donc impossible de signaler quoi que ce soit par ce biais à l’entreprise. Ce qui devrait être une obligation légale pour les entreprises qui manipulent des quantités très importantes de données personnelles, est, comme d’habitude, une vaste fumisterie (pas de mail de contact technique, des adresses périmées depuis des lustres qui arrivent dans /dev/null).

Delivery to the following recipient failed permanently:
    l*********@********.fr
Technical details of permanent failure:
Google tried to deliver your message, but it was rejected 
by the recipient domain. We recommend contacting the other
email provider for further information about the cause of
this error. The error that the other server returned was:
550 550 User unknown (state 14).
----- Original message -----
Received: by 10.213.10.212 with SMTP id q20mr189761ebq.127.1317207073695;
Wed, 28 Sep 2011 03:51:13 -0700 (PDT)
Return-Path: <bluetouff@bluetouff.com>
Received: from [192.168.0.18] (89-156-***-***.rev.numericable.fr.
[89.156.***.***)
by mx.google.com with ESMTPS id f16sm39952932eec.8.2011.09.28.03.51.12
(version=TLSv1/SSLv3 cipher=OTHER);
Wed, 28 Sep 2011 03:51:12 -0700 (PDT)
From: Olivier <bluetouff@bluetouff.com>
Content-Type: text/plain; charset=windows-1252
Content-Transfer-Encoding: quoted-printable
Subject: test
Date: Wed, 28 Sep 2011 12:51:20 +0200
Message-Id: <CCE4E35B-AC7A-41C9-8A45-258AB14D98E1@bluetouff.com>
To: l**********@p******.fr

Nous avons donc contacté l’opérateur via son formulaire de contact il y a plusieurs heures… toujours rien. Ce mail devrait en toute logique passer à trappe, à moins que… nous écrivions cet article… et encore, c’est pas gagné. Nous avons cependant conservé notre screenshot, et surtout l’accusé de réception de cette demande de contact en attendant qu’un « angel » daigne nous demander plus de précisions.

Et là, Reflets commence à bouillir de rage.

  • Toujours aucun moyen de contacter un interlocuteur compétent dans l’entreprise victime de cette fuite ;
  • Toujours cette envie de soit ne rien dire et laisser à d’autres le soin d’exploiter ces fuites, soit, et c’est ce qui motive l’écriture de cet article, de le crier très fort dans les Internets pour que les clients dont les données ont fuité en soient informés.

De notre expérience, ce qui touche à la sécurité informatique, en France, est un tabou. Les cas où les entreprises préviennent leurs clients victimes de fuites de données, se comptent sur les doigts de la main. En France, on ne dit rien, les trous de sécurité, les fuites de données personnelles, c’est le genre de trucs qui n’arrivent qu’aux diplomates américains.

Mais ils ont foutu quoi au Parlement ces cinq dernières années au juste sur le plan du numérique ? Et bien pour faire passer un texte aussi idiot qu’HADOPI, il a fallu s’y reprendre à deux fois. Ça a coûté un demi milliard d’euros au contribuable (on est en crise voyez vous, et comme on compte sur Universal Music pour solder notre dette souveraine, il fallait bien ça).

Si le flicage, le fichage et la censure sont les trois mamelles de la politique numérique à la sauce Nicolas Sarkozy, permettez que l’on s’étonne, qu’en 2011, après ce qu’il convient d’appeler le règne d’un sénateur UMP sur cette autorité oh combien indépendante qu’est la CNIL… RIEN strictement RIEN n’ait été fait devant les menaces grandissantes qui pèsent sur la vie privée de nos concitoyens. Au passage voici un petit rappel de la notion d’indépendance d’une Haute Autorité à la sauce française, ou la composition du collège de la CNIL  (source):

  • 4 parlementaires (2 députés, 2 sénateurs)
  • 2 membres du Conseil économique, social et environnemental ;
  • 6 représentants des hautes juridictions (2 conseillers d’État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des comptes)
  • 5 personnalités qualifiées désignées par le Conseil des ministres (3), le Président de l’Assemblée nationale (1) et le Président du Sénat (1).

… et oui vu comme ça il est déjà moins étonnant de voir passer des lois sécuritaires débiles alors que pendant ce temps, les droits et les libertés numériques élémentaires échappent totalement aux internautes français. Et bien désolé, mais chez Reflets, ça nous donne envie de hurler. La politique du brossage dans le sens du poil des poids lourds du CAC 40 au détriment du bien commun, l’inverse de ce à quoi tout représentant de la nation est tenu, on en a raz la casquette.

L’exemple qui nous concerne aujourd’hui, le voici :

Il semble que notre précédente secrétaire d’État à l’Économie Numérique, comme nous vous l’avions d’ailleurs expliqué ici, ne servait vraiment à rien. Pire, elle se serait même opposée à la proposition Détraigne Escoffier, alors qu’elle a brillé par son absence sur TOUS les débats où on attendait de sa part un minimum d’engagement :
twitter conversation

Le texte ne sera probablement jamais adopté, au bénéfice d’une transposition édulcorée du Paquet Telecom qui permettra aux entreprises de conserver une opacité totale (avec la complicité de la CNIL) sur des questions aussi importantes que la compromission des données personnelles de leurs clients, une réalité qui pourrit la vie à des milliers de personnes en France à l’heure même où nous écrivons ces lignes, avec un phénomène grandissant, celui de l’usurpation d’identité, contre lequel LOPPSI prévoit un arsenal répressif sans apporter AUCUNE solution en amont. Et là nous parlons de sensibilisation, de prévention et de sanctions à destination des entreprises qui se la joueraient un peu trop à la TMG et ne sont pas même fichues de coller un mail de contact technique valide dans un Whois. Et la CNIL, comme notre ancienne secrétaire d’État… ne sert à rien.

Attendez, c’est pas terminé… Là c’était juste l’échauffement.

Reflets ne cautionne pas les publications massives de données personnelles, mais voilà, notre expérience nous montre que c’est dans de bien trop nombreux cas le seul moyen de faire en sorte que les véritables victimes, les clients, soient informés d’une potentielle fuite de leurs données personnelles. Quoi qu’en dise l’amie Marland Militello qui souhaite doubler les peines des personnes qui trouvent et exploitent des failles, nous vous apportons aujourd’hui, une fois de plus, un cas concret qui met en évidence toute l’absurdité de mesures répondant à des problématiques non comprises de ceux qui entendent faire des lois.

Aussi nous avons choisi a plusieurs reprises une solution intermédiaire qui ne laisse plus le choix aux dites entreprises d’informer ou non leurs clients de ces fuites (sinon, nous le faisons nous même):

  1. nous rendons public l’existence d’une faille sans en préciser la nature
  2. si aucun moyen de contact satisfaisant (un mail valide dans un Whois, c’est le strict minimum syndical), nous les contactons publiquement sur Twitter
  3. nous patientons gentiment d’être recontactés, et pour être bien assurés qu’on ne nous oublie pas, on publie sur Reflets un billet, lui aussi bien public, qui ne révèle rien des détails techniques de la vulnérabilité
  4. nous laissons le soin à l’entreprise d’avertir ses clients, dans le cas contraire, nous publions notre avis.

Tout ça pour vous dire, que si votre opérateur est détendu du mobile, vous avez de bonnes raisons de l’appeler pour lui signifier que côté protection de vos données personnelles, c’est quand même vachement tendu.

Twitter Facebook Google Plus email


24 thoughts on “Protection des données personnelles : oui… on se fout bien de votre gueule !”

  1. Ah bien bel article qui relance le phénomène des « paradoxales poursuites » quand on divulgue que telle ou telle entreprise est un conglomérat de glands qui ne pipe rien aux mots « sécurité » et « vie privée ». Les collègues de Zataz en avaient d’ailleurs fait l’amère experience, tribunal et tout le toutim…
    Parfois, on se demande à quoi sert de porter le White Hat alors qu’il serait si facile de passer du côté obscure pour obtenir directement la réactivité due sur ce genre de soucis.
    Keep ze fesse ^^.

  2. Attention, boulette! :)
    Mettre des * pour masquer des mails ou des IPs, c’est bien, mais le masquer aussi dans le html de l’article, c’est mieux, parce que maintenant on sait que c’est Lionel B. à la maison du téléphone (et l’IP de retour de Numéricable…).

  3. Et sinon, un indice sur ce qui peux arriver aux clients si un « vilain pirate-hacker-padeonazi » profite de la faille ?
    Pas que je sois chez l’opérateur qui utilise un chien avec un brushing pour sa promo, mais un collègue de travail si ^_^

    1. Effectivement on pourrait demander aux clients de cet opérateurs consciencieux de porter plaintes, ça pourrait être rigolos :) Ce genre de blagounette a déjà été faite en hollande pour le filtrage, avec de bons résultats à la clé, c’est à tenter pour la négligence caractérisée dans la sécurisation d’un système d’information en ligne

  4. Je croyais que des informations Whois incorrectes, et spécialement l’adresse électronique, avaient pour conséquence l’annulation de l’enregistrement du nom de domaine…

    Si c’est juste, il faut espérer pour eux que personne (et notamment le registraire de ce nom de domaine) ne s’en rende compte ! Parce qu’avec ça, perdre son nom de domaine, ça serait assez épique…

  5. Dites,j’ai repensé à votre process, au passé (Guillermito, Tati), et aux développements récents (genre tuto4pc).
    Je crains que votre process vous expose à des réactions « judiciaires » des gens que vous voulez aider.
    Une bonne manière d’assurer vos arrières serait de créer une asso loi 1901, dont l’objet serait la protection des données personnelles par la recherche et le signalement des failles de sécurité.
    Avant de rendre l’histoire publique sur le net, vous envoyez un recommandé au siège social, copie au procureur de la république compétent territorialement, avec résumé des faits, qualification juridique (défaut de protection des données personnelles : qualification pénale) et des démarches infructueuses pour entrer en contact avec eux (et des conséquences possibles, je suis sur que le service juridique de ces boites adorerait qu’on lui explique qu’ils peuvent perdre tous leurs noms de domaine aussi).
    ça n’empêchera peut être pas les réponses « juridiques », mais ça devrait permettre de répondre facilement à une procédure lancée sur un réflexe de mauvaise humeur de la dir ju.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *