[Kitetoa, les pizzaïolos du Ouèb

AFCPD : gadgetophrases et relecture de jurisprudence...

Depuis des années, Kitetoa.com épingle des entreprises, souvent très grosses, des sites gouvernementaux, pour des défauts triviaux de sécurisation des données personnelles. Depuis des années, nous oublions le lendemain de la publication des articles, ce qui s’est passé sur ces sites. Rares sont les fois où nous revenons sur une histoire publiée. Encore moins sur une histoire non publiée sur Kitetoa.com. Sauf dans certains cas. Cela arrive généralement quand un responsable d’une entreprise s’exprime sur le défaut de sécurisation et énonce une version très personnelle. On avait fini par appeler ça la « gadgetophrase ». Ca donne à peu près ça : « ce serveur était un serveur de test totalement déconnecté des bases de données de production. A aucun moment les données de nos clients n'ont été mises en péril ».

Il se trouve qu’il y a quelques temps, le Webmaster de Kitetoa.com a eu connaissance d’un léger problème de sécurisation des données personnelles sur le site de l’Association française des correspondants à la protection des données à caractère personnel (AFCPD). Le côté cordonnier mal chaussé nous a fait sourire (jaune). Après avoir pris contact avec le responsable de l’association, pour le prévenir du problème, un article a été écrit pour le Canard Enchaîné.

Quelques jours plus tard, paraît un article dans 01net.

Puis, l’AFCDP publie sa lettre mensuelle dans laquelle elle évoque l’article du Canard Enchaîné.

Décryptons tout cela. En espérant que nous pourrons éclairer à la fois de l’AFCDP, et ses membres qui ont visiblement une information incomplète.

Commençons par l’article de 01net :

« C'est pourtant la mésaventure qu'a connue l'Association française des correspondants aux données personnelles (AFCDP), révélée par un article un peu nébuleux du Canard Enchaîné du 30 décembre 2009.
Un internaute aurait ainsi, « par hasard », pu accéder à des données personnelles stockées sur le site et qui auraient normalement dû être sécurisées. Contacté par 01net., le président de l'AFCDP, Paul-Olivier Gibert, confirme.
Le 11 décembre, le responsable du site Kitetoa.com alerte l'association : il a pu accéder aux noms, prénoms, adresses e-mail, mots de passe chiffrés des membres de l'association stockés dans la base de données du site. Il a également pu consulter les messages privés envoyés par les internautes. Autant d'éléments qui ne sont pas visibles pour le grand public en temps normal. »

1) En quoi l’article du Canard est-il nébuleux ? Pourquoi cet adjectif indiquant que l’article est flou, peu clair ?

2) 01net a pris la peine d’interroger le président de l’AFCDP pour essayer d’y voir clair (si tant est que l’article ne l’était pas) mais pas Kitetoa.com (nom qui n’était pas cite dans l’article du Canard). Dommage, on aurait peut-être pu éclairer le journaliste qui trouve l’article « flou » ?

3) « Autant d'éléments qui ne sont pas visibles pour le grand public en temps normal » : soyons clairs (le flou, toussa, toussa…), tous ces éléments ne devraient pas pas être visibles pour le grand public. Mais en l’espèce, ils l’étaient. Cela semble être un détail, ce ne l’est pas.

Maintenant, passons à la lettre mensuelle de l’AFCDP :

« Pan sur le bec !
Mi-décembre, le site Web de l’AFCDP nous a été signalé comme insuffisamment sécurisé (avec une manipulation maîtrisée par certains informaticiens, il laissait apparaître les prénoms, noms et adresses emails de nos membres). Deux heures plus tard la faille était corrigée. Son découvreur a monétisé l’information au Canard Enchainé, qui a publié un entrefilet non signé. Nous traitons cet évènement dans l’optique de la future obligation de notifier les «Data Breach». Les personnes concernées (les membres) ont été informées (descriptif de la faille, impacts potentiels, mesures prises, etc.) ainsi que la Cnil. Cette expérience vécue sera exploitée dans le cadre de notre nouveau groupe de travail « Notification des atteintes aux traitements de données personnelles ». »

Décryptage :

1) la « manipulation » évoquée n’est pas réservée aux informaticiens. Loin de là. Premièrement, le Webmaster de Kitetoa.com n’en est pas un. Deuxièmement, une URL de type /écrire/data/ (c’est là que se trouvait une copie de la base de données du site tournant sus SPIP), n’a rien d’une manipulation d’informaticien. Google sait très bien trouver ce genre de choses.

2) La faille n’a pas été réparée en deux heures. Le responsable de l’association nous a d’ailleurs demandé de retarder la publication de l’article. Il lui fallait plus de temps pour joindre son « webmaster bénévole ».

3) Le découvreur de la faille (ce doit probablement être le Webmaster de Kitetoa.com…) aurait « monétisé » son information. Voilà un mot étonnant. Monétiser. En clair, cela voudrait dire « obtenir de l’argent » contre l’information découverte. On sent comme une pointe de mépris dans cette formulation. Comme un sous-entendu. Il faudrait que le responsable de ce texte se penche sur le métier de journaliste. Les journalistes sont toujours payés en échange des articles qu’ils produisent. J’ai du mal à comprendre ce qu’il pourrait y avoir de choquant à cela. Enfin, le Webmaster de Kitetoa.com n’a pas caché au responsable de l’association qu’il allait écrire un article. D’où sa demande d’en retarder la publication, le temps que le webmaster bénévole de l’association comprenne où était le problème et répare.

4) Le Canard a publié un « entrefilet non signé » . Pour une meilleure information de tous, le Canard Enchaîné a une politique des signatures qui est la suivante : rares sont les papiers signés. Il faut qu’ils soient longs ou d’un intérêt très fort. Aucun pigiste du Canard ne signe ses articles de son nom ou de son pseudonyme. Il n’existe qu’une signature pour tous les pigistes : Jérôme Canard.

5) Le responsable de l’association était initialement très content que le Webmaster de Kitetoa.com le prévienne de cette faille. A telle point qu’il a proposé de l’inviter à sa prochaine rencontre : l’Université des Correspondants Informatique et Libertés qui se tenait le jeudi 4 février 2010. Nous n’avons jamais reçu d’invitation.

Les discussions entre membres de l’association :

Lors de l’université de l’association (évoquée pus haut), Damien Bancal a été invité à exposer la démarche des porteurs de mauvaises nouvelles, comme Zataz.com ou Kitetoa.com . Voici le sujet tel qu’annoncé par l’AFCPD :

« Les sites Web sont-ils de vrais gruyères ? » - Damien BANCAL, journaliste et fondateur du site web zataz.com, signale régulièrement des faits de piratage informatique et des sites Web qui présentent un niveau de sécurité insuffisant (avec pour éventuelle conséquence l’accès à des données à caractère personnel). Il nous décrira le protocole d’alerte strict qu’il a conçu en ce qui concerne l’obtention et la diffusion d’informations concernant ces faits. Suite à la publication d’un article relatant une défaillance de sécurité d’une entreprise vulnérable publié sur son site Zataz.com, Damien Bancal s’est retrouvé face à la justice. En effet, après l’avoir remercié de son aide, la société concernée a porté plainte d’abord au civil (pour le forcer à retirer l’article de son site) et ensuite au pénal (où il était poursuivi pour diffamation). »

Voilà qui tombait à point pour l’association après la découverte par Kitetoa.com de ce défaut de configuration sur son propre site Web. Et qui aurait pu permettre de rendre moins flou l’article du Canard Enchaîné ?

Une occasion pour les correspondants CNIL de se pencher sur la jurisprudence Tati/Kitetoa. Et de se demander si, ce genre de remontées d’informations, ces articles de journalistes qui, concédons-le, ne leur font pas plaisir, pourraient exister si les responsables des STADs faisaient leur travail correctement dès le départ ? S’ils avaient une meilleure compréhension de ce qui se cache derrière des mots et expressions comme « pentest », « audit », « production de code sécurisé », etc.

Il va bien falloir qu’ils se posent ces questions si l’Assemblée nationale vote le texte adopté par le Sénat le 23 mars et qui leur imposera de rendre public les incidents de sécurité. Il y a des chances pour que les articles fleurissent…

Kitetoa

k-version: 5.0