UMP-Mes-Conseils.fr : un étrange partenariat

Mais qu’allait-elle faire, l’UMP, dans cette galère…

Que fait l’UMP chez Mes-Conseils.fr, une obscure petite société au capital de 8000 euros, située à Rouen, pour héberger ses infrastructures critiques remplies jusqu’à plus soif de données personnelles sur ses encartés ? Plus étrange, cette société n’a visiblement aucun savoir-faire en matière de sécurité et avec son unique salarié, on se doute qu’il ne peut pas être partout.

A ce stade, on peut imaginer que cette alliance sur le Net entre l’UMP, l’un des deux grands partis français et cette petite boite est le fruit d’un hasard bienveillant. Machin connait Truc qui fait choses sur Internet, y’a qu’à leur demander. Et paf, voilà un partenariat gagnant-gagnant.

Les drames de la sous-traitance faisant le reste, les données personnelles des députés et autres encartés UMP se sont retrouvées sur Pastebin. Si l’on en croit le communiqué publié par les supposés auteurs du leak, « l’extraction » des données aurait été faite via un google dork lié à une faille SQL connue. Donc, probablement, sans « effraction » énorme. On est en présence d’applications Web critiques non sécurisées et périmées. Arriver à un point d’incompétence tel en 2011 est assez pathétique. Ce n’est pas comme si le Net avait fait son apparition il y a 6 mois et que toutes les SSII se lançaient sur ce terrain sans connaitre ces technologies.

Il y a bien sûr une liste sans fin de questions qui se posent après du #fail de l’UMP. Car ce n’est pas tant sur Mes-Conseils.fr qu’il faut tirer. Bien entendu, on peut leur reprocher d’avoir pris un contrat qu’ils ne pouvaient pas honorer en termes de sécurité (ils l’ont prouvé), mais c’est surtout à l’UMP qu’il faudrait poser des questions :

  • Pourquoi avoir confié de telles bases de données à une si petite entreprise n’ayant pas de connaissances en sécurité informatique, ni l’infrastructure humaine nécessaire ?
  • Qui a pris la décision de confier ces bases à Mes-Conseils.fr ?
    A quoi servaient ces fichiers ? Etait-il nécessaire de les renseigner avec des détails aussi personnels ?
  • Les députés sont-ils au courant de l’existence de cette base et des données parfois privées qu’elle héberge ?
  • Avec 160 000 euros de chiffre d’affaires en 2010, Mes-Conseils.fr semble facturer bien peu cher ses prestations à l’UMP. Au surplus, L’UMP est-elle le seul client de cette société ?
  • Peut-on raisonnablement héberger ce genre d’applications sur un serveur OVH en en sous-traitant la maintenance à une micro-entreprise ?
  • Les auteurs autoproclamés du leak ont-ils tort en disant : plus de fichiers = plus de leaks ?
  • Est-ce que multiplier les lois sécuritaires est une réponse adaptée ?
  • Pourquoi toujours tirer sur les « pirates » et jamais sur les entreprises qui se sont rendues coupables de « négligence caractérisée » en ne sécurisant pas les données qui leur sont confiées (art. 34 de la Loi informatique et libertés).

Cette liste de questions est sans fin, nous l’avons dit en préambule. Ce qui est amusant, pour les historiens de la e-connerie, c’est que le PS avait fait exactement la même erreur avec sa base Rosam, recensant les encartés PS.

Nous avions évoqué cette histoire ici. A l’époque, Kitetoa et l’un des responsables de la rédaction du Canard étaient allés rencontrer le PS (à sa demande) pour lui expliquer la dimension exacte des failles ouvertes par le prestataire du PS, lui aussi un peu tout seul dans son entreprise.

Celui-ci avait l’air d’être chez lui au PS et avait pris des positions qui risquaient de mettre le parti dans une situation difficile face à la presse, en l’occurrence, le Canard Enchaîné. L’étendue de sa liberté de parole et de son contrat, pour une personne seule, avaient frappé les deux journalistes présents autour de la table. Cela avait été évoqué et un membre du PS avait fini par calmer -mollement- son prestataire.

 

Il faut hacker les hackers

Dans le temps, Charles Pasqua disait qu’il fallait terroriser les terroristes. Que fera la droite décomplexée avec les « hackers » (comprendre, les pirates chinois de les Internets) ? Elle va les terroriser aussi. En proposant de nouvelles lois terrorisantes. Déjà aujourd’hui, lorsque vous faites un tag sur un site Web, c’est jusqu’à trois ans de prison. Dans la rue, un tag, c’est une amende. Deux actes comparables, deux sanctions différentes.

Il est temps de renforcer les lois anti-pirates chinois de les Internets. Muriel Marland Militello n’a pas tardé à pondre les inepties dont elle a le secret. Reflets.info propose quelque chose de plus radical. Les pirates auront les deux mains coupées, ce qui les dissuadera définitivement de taper sur leurs claviers. Plus de récidive. Le rêve de Nicolas Sarkozy. Même pas besoin de peines plancher.

Et si ça ne suffit pas, pourquoi pas la peine de mort ?

Pour ce qui est des entreprises qui ne font pas le minimum pour sécuriser les données personnelles qu’elles collectent… Ah… On me souffle dans l’oreillette qu’il existe déjà un article (34) dans la loi informatique et libertés et un article du code pénal (226-17) qui sanctionne la non protection des données. Tarif : cinq ans d’emprisonnement et 300 000 Euros d’amende.  Pourtant, alors que cette sanction lourde existe, il n’y a pas de jurisprudence dans ce domaine en dépit des millions de données personnelles qui fuitent tous les jours.

Mes-Conseils.fr sera-t-elle poursuivie ? On imagine bien que non.

En revanche, la plainte pour vol et recel des données fuitées par la grâce de l’inefficacité crasse de Mes-Conseils.fr, eux, sera elle, sans aucun doute déposée.

Tuons le messager. C’est vieux comme le monde.

 

Twitter Facebook Google Plus email

Auteur: Antoine Champagne - kitetoa

Dinosaure du Net, journaliste à ses heures. A commis deux trois trucs (Kitetoa.com, Aporismes.com et Reflets.info).


27 thoughts on “UMP-Mes-Conseils.fr : un étrange partenariat”

  1. « Cette liste de question est sans fin, nous l’avons dit en prambule »
    préambule ?

    « On me souffle dans l’oreillette […] qui sanctionne la non protection des donées »
    […]des données.

    Aïe mes yeux :D

      1. En fait, je me rends compte que je laisse passer de plus en plus de fautes. C’est moi le facho de l’orthographe ici et je relis à peu près tous les papiers. C’est donc assez inquiétant. Je pense que la fatigue après un an de soirée à rallonge pour préparer les papiers du lendemain commence à se faire sentir dangereusement.

  2. Effectivement, nul ne peut tout savoir. Ce qui explique en partie l’enveloppe des députés et sénateurs, pour avoir des assistant.

    Une partie des assistants parlementaire sont lié par des liens familiaux…

    Les politiques à de rares exceptions prés non aucune idées du volume réel de données que la loi, qu’ils ont eux même laissé voté dans des hémicycle vide, oblige les webmasters à conserver.
    Alors comprendre que le texte du mail qu’ils écrivent ce trouve physiquement sur au moins un sinon deux services de mails, que les messages privés ne sont en rien inaccessible pour celui qui contrôle l’application etc…

    Je soupçonne fortement qu’ils n’ont pas intégrés que le fait d’appuyer sur le bouton de la messagerie n’efface pas le mail, le post, ou le message privé. Alors l’ensemble des logs et données lol.

    Ils resteront arc-bouté sue le principe suivant:
    « la pénétration des systèmes informatiques est interdites »
    même si celui-ci est tout pourri, ils ne s’appliqueront ni à eux même ni leurs « entourages » le principe d’obligation de moyens.

  3. Bon, ok, mais juste un bémol:

    pourquoi cet acharnement sur l’envergure du prestataire (« avec son unique salarié », « une si petite entreprise « , « ni l’infrastructure humaine nécessaire »), c’est pas gentil de taper sur les petits… et surtout ce n’est pas la cause du problème.

    Plus sérieusement, bien que celui-ci ait cafouillé dans les grandes largeurs, il te semble vraiment inconcevable de confier une mission à une seule personne, quelle que soient les compétences de cette personne, il faut à tout prix passer par une SSII, et de combien de personnes minimum au juste?

    1. J’ai dû être trop elliptique dans mon papier. Je pense que l’on peut tout à fait donner un contrat à une personne seule. En revanche, vu ce que j’ai lu sur cette société, je doute que la personne seule soit une experte en sécurité ou même en gestion de bases de données. Cela ressemble plus à une boite faite pour engranger des bénéfices au maximum avec le minimum de ressources.

      J’ai passé 10 ans de ma vie à démonter les discours marketing des SSII et à démontrer qu’elles étaient incapables de produire une application Web propre.

      cf. Kitetoa.com rubrique « le monde fou, fou, fou des admins ».

      1. J’ai parcouru avec plaisir ta rubrique sur les admins. j’en déduis que celui qui veut un audit gratos n’a qu’a te spammer :D
        Plus sérieusement, un article qui explique ta méthode de « webscrapping » pour arriver à trouver ces failles serait très intéressant.
        En tout cas moi, je suis preneur, et ce serait un plus pour la sécurité de tous ceux qui auraient la chance de le lire.

        1. Ahem

          Secrets de fabrication.

          Plus sérieusement, je ne préfère pas expliquer comment je fais parce que cela pourrait être utilisé à tort et à travers par des gens sans éthique ;)

          J’explique en revanche régulièrement comment je fais à des étudiants en journalisme ou en droit.

          1. etudiant en communication Señor, j’peux j’peux ?
            Très honnêtement, si tu fais une intervention et que ton éthique autorise ma filière com’. Je serais heureux de faire le déplacement.

  4. À noter que oui, un fichier des coordonnées perso des membres d’un parti est souvent une ressource essentielle et critique. Parce qu’il faut parfois réagir au quart de tour, remplacer au pied levé quelqu’un sur une liste, organiser un événement imprévu, contacter untel sur un sujet dont il est le spécialiste, etc…

    Il est étonnant qu’une ressource aussi critique ne soit pas gérée avec soin, mais il est normal qu’elle existe.

  5. « mais c’est surtout à l’UMP qu’il faudrait poser des questions »
    C’est tout à fait ça.

    C’est tout de même EXTRAORDINAIRE !
    Voilà un partie qui prône une surveillance, un pistage, un traçage de l’ensemble de sa population, un partie qui défend une posture sécuritaire depuis quasiment 10 ans et qui n’est pas fichu de se protéger lui-même !

    C’est typiquement un parti conservateur : vent debout contre l’évolution de tout (technologie notamment), paranoïaque au possible et qui se fait gauler à peine le nez dehors et au premier virage technologique.
    La faute est vraiment humaine, débile, non avenue, lamentable, en dessous de tout.
    Comment peut-on encore écouter de tels macaques débiter leur sempiternel discours ?

    db

  6. Vous devriez aussi vous intéresser à l’ASIP Santé avec ses partenariats privés d’hébergement des données personnelles médicales des français…Ca sent la magouille, je sais de quoi je parle…je vous laisse découvrir l’embrouille.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *