Le jeudi 14 février 2019 à 10:30
Parmi les informations personnelles laissées libres d’accès sur le site internet du CLUSIF, celles le directeur de la sécurité informatique de l’Elysée, de l’inspecteur en chef et du responsable infrastructure de l’Autorité de sûreté nucléaire, notamment.
Une « erreur humaine » qui fait désordre. Selon le Canard Enchaîné, le site internet du Club de la sécurité de l'information français (Clusif) a laissé s’échapper en clair sur la toile les coordonnées personnelles de ses membres et plus encore. Au total, ce sont 2200 fiches ultra-sensibles qui ont fuité.
Des hauts-responsables de l’État et des grandes entreprises françaises
Le Clusif n’avait vraisemblablement pas sécurisé des fichiers au format CSV présents sur le serveur de son site internet. Ces derniers étaient accessibles via une simple requête sur le moteur de recherche Bing. Un comble pour ce rassemblement de pontes de la cybersécurité en France.
DEMAIN DANS LE CANARD
Les as de la cyberdéfense française ont laissé traîner leurs petits secrets sur le Web— @canardenchaine (@canardenchaine) February 12, 2019
Les identités et coordonnées du directeur de la sécurité informatique de l’Elysée, de l’inspecteur en chef et du responsable infrastructure de l’Autorité de sûreté nucléaire ont fuité, mais aussi celles d’une vingtaine d’experts de l’état-major des armées, de la Direction Générale de l’Armement et de la cyberdéfense française.
Une « erreur humaine »
« Le CLUSIF tient à vous informer qu’il a été prévenu que des fichiers de données à caractère personnel relatives à ses membres auraient pu être consultés par des tiers depuis des moteurs de recherche. Nos équipes techniques ont procédé aux vérifications nécessaires et ont immédiatement mis en œuvre les mesures correctrices », indique l’organisation dans un communiqué.
Et de poursuivre : « Compte tenu de cet événement, le jour même, une notification a été réalisée auprès de la Commission nationale de l’informatique et des libertés et nos membres ont été informés. Il ne s’agit pas d’un acte de malveillance, une erreur humaine a été commise dans la gestion de notre site Internet. Nous allons donc renforcer les actions de contrôle ».
Contacté par le magazine spécialisé ZDNet, le directeur du Clusif a précisé qu’aucun identifiant ou mot de passe n’a fuité. Les informations contenues dans les fiches sont précisément : les adresses, numéros de téléphone, noms et prénoms des personnes chargées de représenter l’organisation au sein du club. « Au vu de notre rôle et de notre position dans le milieu de la sécurité informatique, on ne peut pas se permettre de minimiser l’événement », a concédé Jean-Marc Gremly.