IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les données personnelles de 10 000 allocataires de la CAF de Gironde mises en ligne par erreur
Sont restées en libre accès pendant un an et demi

Le , par Patrick Ruiz

7PARTAGES

25  0 
La Caisse d’allocations familiales (CAF) de Gironde a partagé avec l'un de ses prestataires chargés de former ses agents (à la programmation en langage R) des données personnelles de 10 204 allocataires sous forme de fichier .zip. Le prestataire les a ensuite mis en ligne pensant qu’il s’agissait de données fictives destinées à la formation que la CAF avait mises à sa disposition. Résultat : dates de naissance, composition du foyer, adresses, revenus et montants reçus de la CAF de ces allocataires se sont trouvées sur Internet en libre accès sur Internet et ce, pendant un an et demi.

« L’origine de cette "fuite" que la cellule investigation de Radio France vous révèle, se trouve à la caisse d’allocations familiales de Gironde. L’organisme (de statut privé, chargé d’une mission de service public, comme toutes les CAF) forme régulièrement ses agents, notamment ses statisticiens. Pour leur apprendre le langage R, un langage de programmation destiné aux statistiques, il fait appel à un prestataire basé en région parisienne. Et comme dans toutes les formations, il y a des cas pratiques avec des exercices.

Dans ce cadre-là, la CAF de Gironde a communiqué à son client un fichier comportant les données personnelles de 10 204 allocataires précisément. Les noms et prénoms ont été enlevés ainsi que les codes postaux, mais il reste beaucoup d’informations : adresse (numéro et nom de la rue), date de naissance, composition et revenus du foyer, montants et types de prestations reçues (RSA, APL, allocation adulte handicapé...), au total, pas moins de 181 données par allocataire ont été dévoilées. Même les dates de naissance des enfants et l’existence d’une garde alternée sont mentionnées dans le fichier. La suppression des noms et des prénoms n’empêche nullement d’identifier les allocataires, car en utilisant l’annuaire inversé sur internet, nous avons pu retrouver l'identité de la plupart d’entre eux.
Au moment de la formation, en mars 2021, le prestataire met ce fichier en ligne sur son site internet (voir captures d’écran ci-dessous) », rapporte la cellule d’investigation de Radio France.

Le prestataire a donc mis en ligne les données (qu’il pensait créées de toutes pièces par la CAF) en mars 2021 pour les cas pratiques de formation en ligne des agents de la CAF à la programmation en langage R. Il a ensuite omis de supprimer le fichier et ne l’a retiré qu’après le signalement de Radio France, soit 18 mois plus tard. La cellule d’investigation rapporte en sus que l’utilisation d’un annuaire inversé sur Internet permettait de retrouver les noms et prénoms des allocataires et donc de les identifier.


Le partage de données initié par la CAF n’est pas conforme aux dispositions du RGPD qui requiert au préalable le consentement de chaque personne concernée. En d’autres termes, les allocataires auraient dû accepter bien en amont un tel partage. Des poursuites judiciaires pourraient donc suivre.

Et vous ?

Quel commentaire faites-vous de cette situation ?

Voir aussi :

Un chercheur en sécurité a découvert plus de 1500 identifiants Amazon Ring en vente sur le Dark Net, permettant d'accéder à l'ensemble des appareils connectés aux sonnettes
Amazon et Ring distribuent leurs dispositifs de surveillance connectés en utilisant les agents de police, comme des représentants commerciaux
Plus de 267 millions de noms et de numéros de téléphone provenant de Facebook ont été divulgués en ligne, selon des chercheurs en sécurité
De nombreux systèmes militaires américains critiques pour la sécurité utilisent désormais Linux, un système d'exploitation qui répond au mieux aux exigences du gouvernement ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de BleAcheD
Membre confirmé https://www.developpez.com
Le 06/01/2023 à 17:22
"par erreur" et "plus de 1 an et demi" ne font jamais bon ménages
5  0 
Avatar de pcdwarf
Membre éprouvé https://www.developpez.com
Le 06/01/2023 à 18:59
et ça continuera tant que la tech sera déployée sans réflexion pour des raison de modernité ou de mode sans se préoccuper de la formation du personnel.

dans ces domaines là, le papier, c'était pas si mal... C'est pas que les fuites n'existaient pas mais de là à exposer toute une bdd...
4  0 
Avatar de thamn
Membre averti https://www.developpez.com
Le 06/01/2023 à 18:19
Plus c'est gros plus c'est bon, plus c'est long plus c'est bon.
Je sais pas comment c'est possible d’être a ce point incompétent, j'irai même jusqu’à dire que je n'arrive pas a comprendre qu'on puisse être en poste tout en étant aussi stupide.
3  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 08/01/2023 à 9:56
Citation Envoyé par HaryRoseAndMac Voir le message
Attend.

On est entrain de parler de l'un des plus grands scandale de France depuis des années et ça passe sur un article de developpez.net comme si de rien était et nulle part ailleurs ?

Mais on rêve ?!
Avant qu'on parle de cybersécurité, avant même Snowden, le ministère des armées et le ministère de l'économie et des finances se sont fait powned respectivement par les russes et les chinois. Tous les secrets militaires et toutes les données des entreprises payant des impôts en France ont été espionnés à 3 mois d'intervalle l'hiver 2013 (source lefigaro.fr). Au printemps, Snowden faisait ses révélations.

Mais plus récemment, les hôpitaux, les conseils régionaux, les départements se font régulièrement cracker par des ransomwares. Et il ne s'agit que de la surface de l'iceberg mais l'ANSSI révèle que 108 incidents de fuite de données ont eu lieu en 2022 dans le monde restreint des acteurs sensibles dont elle a la charge (source ziff davis). Et ça, ça ne se retrouve pas dans les journaux ou sur le web.
3  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 06/01/2023 à 18:46
Oh la gaffe...

Les données, même anonymisées, doivent être mise sur un serveur de test isolé du réseau au minimum. On peut comprendre le presta qui forme : jamais de la vie il ne donnerait des données réelles comme ça.
1  0 
Avatar de binarygirl
Membre averti https://www.developpez.com
Le 07/01/2023 à 20:38
Citation Envoyé par HaryRoseAndMac Voir le message
l'un des plus grands scandale de France depuis des années
Loin de là. Il y a bien pire qui arrive régulièrement en terme de fuites, surtout avec le ransomware actuellement.
Tout le monde dit qu'il faudrait travailler avec des données anonymisées et c'est juste mais pour la plupart des équipes dev c'est un voeu pieux. L'outil n'existe pas ou est incomplet, il faudrait le mettre en place
C'est comme la sécurité proactive, ça fait partie de ces tâches qui ne rapportent pas d'argent et sont donc négligées. Peut-être que les amendes vont faire évoluer cette mentalité à terme... on peut rêver.

Quand on y pense ce n'est pas aussi simple.
Il n'y a pas si longtemps j'ai participé à un dév ERP, et évidemment la DB est très grosse. Certes, on peut faire tourner un script d'anonymisation dessus mais ça va mettre des plombes. Et surtout, la DB évolue en structure et données, du coup on ne peut pas éternellement rester sur une DB "anonymisée" de dev. Il y a un moment où il faudrait recommencer la manip et c'est long.
Donc voilà comment ça se passe dans la vraie vie
1  0 
Avatar de Paradoxalix
Membre du Club https://www.developpez.com
Le 15/01/2023 à 20:34
10 000 allocataires de la CAF de Gironde mises en ligne par erreur : allumez le feu , que les bûchés purifie tout cela !

Certes on peut parler de 'scandâle innacceptâble' ... toutefois la divulgation imbécile de tous nos petits secrets dans les pages facebook : là , on est plus à la même échelle .

Nous devons parler dans ce cas de figure de milliards de milliards de divulgations de nos moindres failles qui permettent 'TOUT' aux mal-intentionnés qui font école en cette grandiose époque de " transparence ".

Depuis les cartes de maisons vides , aux troupeaux de jeunes filles consommables avec mode d'emploi , jusqu'aux dons d'organes pas vraiment consentis ...

Les marchés sont ouverts : XXXX$ qui dit mieux , yyyy FS , ... , j'adjuge !

Je ne sais pas pour vous , mais moi je trouve qu'on devrait quand même faire quelque chose ; non assistance à personne en danger ... ça ne vous dit rien ?

Cordialement , Paradoxalix
0  0 
Avatar de HaryRoseAndMac
Membre extrêmement actif https://www.developpez.com
Le 07/01/2023 à 18:56
Attend.

On est entrain de parler de l'un des plus grands scandale de France depuis des années et ça passe sur un article de developpez.net comme si de rien était et nulle part ailleurs ?

Mais on rêve ?!
1  2 
Avatar de HaryRoseAndMac
Membre extrêmement actif https://www.developpez.com
Le 08/01/2023 à 14:40
Citation Envoyé par marsupial Voir le message
Avant qu'on parle de cybersécurité, avant même Snowden, le ministère des armées et le ministère de l'économie et des finances se sont fait powned respectivement par les russes et les chinois. Tous les secrets militaires et toutes les données des entreprises payant des impôts en France ont été espionnés à 3 mois d'intervalle l'hiver 2013 (source lefigaro.fr). Au printemps, Snowden faisait ses révélations.

Mais plus récemment, les hôpitaux, les conseils régionaux, les départements se font régulièrement cracker par des ransomwares. Et il ne s'agit que de la surface de l'iceberg mais l'ANSSI révèle que 108 incidents de fuite de données ont eu lieu en 2022 dans le monde restreint des acteurs sensibles dont elle a la charge (source ziff davis). Et ça, ça ne se retrouve pas dans les journaux ou sur le web.
En même temps, on a des organes comme l'ANSSI avec les mecs les plus compétents de France et au lieu de passer par eux ou par des Freelances ultra compétents, les grosses boites Françaises, voir, les entreprises publiques Françaises préfèrent passer par leur copains qui se pistonnent entre eux depuis 20 ans : les ESN.
1  2