Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

UMP-Mes-Conseils.fr : un étrange partenariat

Mais qu'allait-elle faire, l'UMP, dans cette galère... Que fait l'UMP chez Mes-Conseils.fr, une obscure petite société au capital de 8000 euros, située à Rouen, pour héberger ses infrastructures critiques remplies jusqu'à plus soif de données personnelles sur ses encartés ? Plus étrange, cette société n'a visiblement aucun savoir-faire en matière de sécurité et avec son unique salarié, on se doute qu'il ne peut pas être partout.

Mais qu'allait-elle faire, l'UMP, dans cette galère...

Que fait l'UMP chez Mes-Conseils.fr, une obscure petite société au capital de 8000 euros, située à Rouen, pour héberger ses infrastructures critiques remplies jusqu'à plus soif de données personnelles sur ses encartés ? Plus étrange, cette société n'a visiblement aucun savoir-faire en matière de sécurité et avec son unique salarié, on se doute qu'il ne peut pas être partout.

A ce stade, on peut imaginer que cette alliance sur le Net entre l'UMP, l'un des deux grands partis français et cette petite boite est le fruit d'un hasard bienveillant. Machin connait Truc qui fait choses sur Internet, y'a qu'à leur demander. Et paf, voilà un partenariat gagnant-gagnant.

Les drames de la sous-traitance faisant le reste, les données personnelles des députés et autres encartés UMP se sont retrouvées sur Pastebin. Si l'on en croit le communiqué publié par les supposés auteurs du leak, "l'extraction" des données aurait été faite via un google dork lié à une faille SQL connue. Donc, probablement, sans "effraction" énorme. On est en présence d'applications Web critiques non sécurisées et périmées. Arriver à un point d'incompétence tel en 2011 est assez pathétique. Ce n'est pas comme si le Net avait fait son apparition il y a 6 mois et que toutes les SSII se lançaient sur ce terrain sans connaitre ces technologies.

Il y a bien sûr une liste sans fin de questions qui se posent après du #fail de l'UMP. Car ce n'est pas tant sur Mes-Conseils.fr qu'il faut tirer. Bien entendu, on peut leur reprocher d'avoir pris un contrat qu'ils ne pouvaient pas honorer en termes de sécurité (ils l'ont prouvé), mais c'est surtout à l'UMP qu'il faudrait poser des questions :

  • Pourquoi avoir confié de telles bases de données à une si petite entreprise n'ayant pas de connaissances en sécurité informatique, ni l'infrastructure humaine nécessaire ?
  • Qui a pris la décision de confier ces bases à Mes-Conseils.fr ? A quoi servaient ces fichiers ? Etait-il nécessaire de les renseigner avec des détails aussi personnels ?
  • Les députés sont-ils au courant de l'existence de cette base et des données parfois privées qu'elle héberge ?
  • Avec 160 000 euros de chiffre d'affaires en 2010, Mes-Conseils.fr semble facturer bien peu cher ses prestations à l'UMP. Au surplus, L'UMP est-elle le seul client de cette société ?
  • Peut-on raisonnablement héberger ce genre d'applications sur un serveur OVH en en sous-traitant la maintenance à une micro-entreprise ?
  • Les auteurs autoproclamés du leak ont-ils tort en disant : plus de fichiers = plus de leaks ?
  • Est-ce que multiplier les lois sécuritaires est une réponse adaptée ?
  • Pourquoi toujours tirer sur les "pirates" et jamais sur les entreprises qui se sont rendues coupables de "négligence caractérisée" en ne sécurisant pas les données qui leur sont confiées (art. 34 de la Loi informatique et libertés).

Cette liste de questions est sans fin, nous l'avons dit en préambule. Ce qui est amusant, pour les historiens de la e-connerie, c'est que le PS avait fait exactement la même erreur avec sa base Rosam, recensant les encartés PS.

Nous avions évoqué cette histoire ici. A l'époque, Kitetoa et l'un des responsables de la rédaction du Canard étaient allés rencontrer le PS (à sa demande) pour lui expliquer la dimension exacte des failles ouvertes par le prestataire du PS, lui aussi un peu tout seul dans son entreprise.

Celui-ci avait l'air d'être chez lui au PS et avait pris des positions qui risquaient de mettre le parti dans une situation difficile face à la presse, en l’occurrence, le Canard Enchaîné. L'étendue de sa liberté de parole et de son contrat, pour une personne seule, avaient frappé les deux journalistes présents autour de la table. Cela avait été évoqué et un membre du PS avait fini par calmer -mollement- son prestataire.

 

Il faut hacker les hackers

Dans le temps, Charles Pasqua disait qu'il fallait terroriser les terroristes. Que fera la droite décomplexée avec les "hackers" (comprendre, les pirates chinois de les Internets) ? Elle va les terroriser aussi. En proposant de nouvelles lois terrorisantes. Déjà aujourd'hui, lorsque vous faites un tag sur un site Web, c'est jusqu'à trois ans de prison. Dans la rue, un tag, c'est une amende. Deux actes comparables, deux sanctions différentes.

Il est temps de renforcer les lois anti-pirates chinois de les Internets. Muriel Marland Militello n'a pas tardé à pondre les inepties dont elle a le secret. Reflets.info propose quelque chose de plus radical. Les pirates auront les deux mains coupées, ce qui les dissuadera définitivement de taper sur leurs claviers. Plus de récidive. Le rêve de Nicolas Sarkozy. Même pas besoin de peines plancher.

Et si ça ne suffit pas, pourquoi pas la peine de mort ?

Pour ce qui est des entreprises qui ne font pas le minimum pour sécuriser les données personnelles qu'elles collectent... Ah... On me souffle dans l'oreillette qu'il existe déjà un article (34) dans la loi informatique et libertés et un article du code pénal (226-17) qui sanctionne la non protection des données. Tarif : cinq ans d'emprisonnement et 300 000 Euros d'amende.  Pourtant, alors que cette sanction lourde existe, il n'y a pas de jurisprudence dans ce domaine en dépit des millions de données personnelles qui fuitent tous les jours.

Mes-Conseils.fr sera-t-elle poursuivie ? On imagine bien que non.

En revanche, la plainte pour vol et recel des données fuitées par la grâce de l'inefficacité crasse de Mes-Conseils.fr, eux, sera elle, sans aucun doute déposée.

Tuons le messager. C'est vieux comme le monde.

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée