Passer au contenu

Une faille sur le site des correspondants Cnil

Un internaute a pu accéder à des données personnelles normalement sécurisées sur le site des correspondants Cnil. Elles n’ont pas été exploitées, mais le site a tenu à prévenir la Commission.

Un site Internet qui protège mal ses données personnelles, cela fait déjà mauvais effet. Mais quand il s’agit du site de l’Association des correspondants informatique et libertés, c’est le comble ! C’est pourtant la mésaventure qu’a connue l’Association française des correspondants aux données personnelles (AFCDP), révélée par un article un peu nébuleux du Canard Enchaîné du 30 décembre 2009.

Un internaute aurait ainsi, « par hasard », pu accéder à des données personnelles stockées sur le site et qui auraient normalement dû être sécurisées. Contacté par 01net., le président de l’AFCDP, Paul-Olivier Gibert, confirme.

Le 11 décembre, le responsable du site Kitetoa.com alerte l’association : il a pu accéder aux noms, prénoms, adresses e-mail, mots de passe chiffrés des membres de l’association stockés dans la base de données du site. Il a également pu consulter les messages privés envoyés par les internautes. Autant d’éléments qui ne sont pas visibles pour le grand public en temps normal.

La Cnil prévenue

« Nous avons pris contact avec notre administrateur bénévole et la faille a été corrigée en deux heures », note le président de l’AFCDP. Le problème venait de ce que le site, créé sur Spip en 2004, n’avait jamais été mis à jour.

D’abord confiée à un partenaire extérieur, sa maintenance a ensuite été reprise par l’association elle-même qui était dotée de peu de moyens. « Or, il y avait une faille de conception à l’origine et l’administrateur n’avait pas procédé aux montées de versions ». Ce défaut provoquait une confusion entre données publiques et privées si bien que tout n’était pas protégé correctement.

Si les choses sont censées être rentrées dans l’ordre, l’Association est en train de faire auditer son site et a tenu à prévenir la Commission nationale de l’informatique et des Libertés (Cnil). « C’est une obligation en cas de pertes de données personnelles, explique Paul-Olivier Gibert. Nous n’avons aucune preuve que des données ont été perdues, mais, simplement, nous anticipons ».

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Arnaud Devillard