Accueil > 2011 > novembre > Plus de fichiers = plus de fuites

Plus de fichiers = plus de fuites

bugbrother.blog.lemonde.fr - 10 novembre 2011

jeudi 10 novembre 2011

Plus de fichiers = plus de fuites

Le communiqué de presse de ceux qui se présentent comme les auteurs de "DoX-UMP", la publication des adresses e-mail et n° de téléphone portables, entre autres données personnelles, de plus d’un millier de cadres et d’élus UMP, fait référence à plusieurs de mes articles, et pose des questions qui méritent d’être débattues :

Alors pourquoi avoir publié ces données ?
Nous avons simplement profité de cette occasion pour mettre l’UMP en face de ses contradictions, situation tellement ironique…
Plus de fichiers = Plus de fuites.
Et plus les fichiers sont « tendancieux », plus le risque de fuite sera grand.

* Il y a quelques mois une loi a été votée autorisant le « fichage de 45 millions de personnes honnêtes », lorsque 566 des 577 députés étaient ABSENTS !
* Il y a quelques jours, Israel s’est « rendu compte » que les données privées de 9 millions de ses citoyens circulaient sur internet.
Plus de fichiers = Plus de fuites.

De fait, la semaine passée, et au moment même où le Sénat votait le fichage de 60 millions de "gens honnête" (sic), pour reprendre l’expression des parlementaires UMP qui se sont penchés sur la question, je découvrais que la base de données du fichier de la population de 9 millions d’Israéliens (morts et vivants) avait ainsi fuité sur le Net, par l’entremise d’un employé malveillant.

Qui est « irresponsable » ? Qu’est ce qui est « grave » ?

Ce genre de fuite de données personnelles n’a en soi rien que de très exceptionnel : il n’existe pas de sécurité informatique efficace à 100%, et dès lors qu’un fichier a été constitué, il est susceptible de "fuiter", soit parce qu’un "insider" (qui dispose d’un accès direct, in situ, au fichier), décide de le copier sur son propre disque dur ou un clef USB afin de le faire fuiter, soit parce qu’un individu parvient à y accéder à distance (parce que le serveur d’origine, ou que l’une des copies de ce fichier, sur le disque dur d’un tiers qui l’aurait copié, n’a pas été correctement protégé).

La base de données de datalossdb.org, la principale base de données de ce genre de "fuite de données" fourmille ainsi de fuites de centaines de milliers de données personnelles de clients de tel ou tel marchand en ligne ou administration, hopitaux, services publics, banques, etc.

Les auteurs du "DoX UMP" expliquent ainsi n’avoir attaqué, ni même visé, "aucun site institutionnel" : la faille a été trouvée via une requête Google, ce qu’on appelle un "google dork", ou du "google hacking", à savoir l’utilisation du moteur de recherche pour identifier les problèmes ou failles de sécurité présentes sur les sites web indexés par Google.

En l’espèce, les auteurs de la fuite ont identifié une brèche sur les serveurs d’une société d’hébergement & création de sites internet privée, mes-conseils.fr, qui leur ont donné accès à une treintaine de sites personnels de personalités de l’UMP, et plus de 160 bases de données, "dont la plupart étaient directement liées avec l’UMP", où ils ont trouvé des centaine voire des milliers d’emails, ainsi que "les identifiants confidentiels de ces députés pour se connecter à des extra/intranets (et) certains identifiants confidentiels permettant de se connecter au portail privé de l’assemblée-nationale".

En réponse à ceux qui les qualifient d’"irresponsables", telle Muriel Marland-Militello, la députée UMP qui a qualifié cette fuite d’"atteinte à la Nation" perpétrée par des "cyber-voyous", DoX-UMP tient à rappeler que :

Qui est « irresponsable » ? Qu’est ce qui est « grave » ?
- Ce webmaster qui laisse quasi-ouvert son serveur MySql, qui utilise le même mot de passe PARTOUT, et qui semble très peu regardant quand à la sécurité des données qu’il hébèrge ? (...)

A ceux qui nous qualifient de « cyber-idéalistes attaquant la nation », nous tenons à dire que :

 Nous n’avons publié aucun mot de passe permettant d’accéder aux sites institutionnels, malgré leur présence dans la base de données. (...)
- Nous n’avons pas publié la faille en question, ce qui aurait permis à n’importe qui de s’emparer de toutes ces données.

La gravité de notre piratage et des données rendues publiques, quelques sms, est quelques peu désuette quand on se pose les questions suivantes :
* Que se serait-il passé si ce piratage était l’oeuvre d’un pays étranger, pas forcément très amical, qui aurait pu ainsi envoyer/recevoir des mails avec l’adresse officielle de membres du gouvernement ?
* Que se serait-il passé si ce piratage avait mené à un piratage de tout le site du groupe UMP ou du site l’assemblée nationale et compromettant surement des données réellement sensibles ?

La France, patrie des droits de l’homme, de la vie privée, et...

Je ne peux que souscrire aux cris d’orfraie de ceux qui, à l’UMP, crient aujourd’hui à l’insécurité et au viol de la loi informatique et libertés : cela fait maintenant des années que les défenseurs des libertés sur le Net -dont je suis- tirent la sonnette d’alarme pour ce qui est du fichage des données personnelles sensibles (politiques, religieuses, sexuelles, policières -notamment) des citoyens, dès lors que, en démocratie, nous sommes "présumés innocents", et qu’il serait donc dangereux de pouvoir nous ficher en fonction d’un point de vue politique, religieux, sexuel, ou policier (notamment).

Mais je ne peux également que souscrire aux motivations affichées des auteurs de "DoX-UMP", parce que ce qu’ils ont fait est bien moins grave et irresponsable que le vote, par une dizaine de députés, du fichage généralisé des "gens honnêtes", et ce afin de subventionner les industriels français qui sont, de fait, les leaders mondiaux des empreintes digitales... quand bien même la proposition de loi est contraire à l’interprétation que se fait le Conseil d’État, la CNIL et la Cour européenne des droits de l’homme de la protection des libertés fondamentales (voir A qui profite le fichier des « gens honnêtes » ?).

La France fut non seulement le pays de la déclaration des droits de l’homme, mais également le premier pays à s’être doté d’une loi type informatique et libertés, et d’une autorité indépendante, la CNIL, créées, précisément, pour protéger les citoyens du fichage généralisé de la population au profit du ministère de l’Intérieur (voir Safari et la chasse aux Français).

Or, la France est aussi devenue la championne d’Europe de la surveillance des télécommunications, depuis que le FBI, le PS et Christian Estrosi ont mis le Net sous surveillance, dans la foulée des attentats du 11 septembre 2001.

Et depuis son arrivée Place Beauvau, au ministère de l’Intérieur, en 2002, Nicolas Sarkozy a fait adopter 42 lois sécuritaires, et créé 44 fichiers policiers, et donc autant de "failles ou fuites" potentielles...

Or, et dans le même temps, l’Elysée a aussi enterré, en grande pompe, la proposition de loi visant à encadrer les fichiers policiers, mais également tenté de décapiter la CNIL, sans oublier les velléités répétées du gouvernement de croiser les fichiers sociaux (voir La République des fiches)...

Dans le même temps, le policier qui, parce qu’il refusait de violer la loi pour satisfaire la culture du chiffre et de la peur du ministère de l’intérieur (voir Peut-on obliger les policiers à violer la loi ?), avait dénoncé les problèmes posés par les fichiers policiers, risque aujourd’hui d’être exclu à vie de la police nationale... (voir Un policier fait trembler l’Intérieur).

Je ne souscris ni ne cautionne ce qu’a fait "DoX-UMP, parce que ce n’est pas en faisant fuiter plus de données personnelles que l’on combattra cette surenchère sécuritaire du fichage. Par contre, je suis plutôt d’accord avec eux lorsqu’ils nous demandent :

Qui est « irresponsable » ? Qu’est ce qui est « grave » ?

Voir, à ce titre, l’enquête que j’avais consacrée à ce lobby, sur OWNI :
■Fichons bien, fichons français
■Morpho, n°1 mondial de l’empreinte digitale.

Voir aussi :
Un fichier de 45M de « gens honnêtes »
Internet & données personnelles : tous fichés ?
Peut-on obliger les policiers à violer la loi ?
10 ans après, à quoi ont servi les lois antiterroristes ?
Amesys/Bull : un parfum d’affaire d’État

jean.marc.manach (sur Facebook & Google+ aussi) @manhack (sur Twitter)
auteur de "La vie privée, un problème de vieux cons ?"


Voir en ligne : Plus de fichiers = plus de fuites

Un message, un commentaire ?

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.