Des données personnelles étaient librement accessibles sur le site de la région Ile-de-France
Des données personnelles étaient librement accessibles sur le site de la région Ile-de-France
Par Morgane Tual
« Next INpact » a révélé mardi une faille permettant d’accéder, sur le site de la région, à des documents personnels sans protection : CV, cartes d’identité, passeports, RIB…
Une faille dans le site de la région Ile-de-France : c’est ce qu’a découvert le média spécialisé dans le high-tech Next INpact, après le signalement d’un lecteur, et qu’il a relaté dans un article publié mardi 12 décembre. Concrètement, il était jusqu’à mercredi possible d’accéder, sans aucune protection, à des documents personnels comme des CV, mais aussi des photocopies de passeports, de cartes d’identité, de relevés d’identité bancaire, de bilans médicaux et autres types de fichiers. Des informations confirmées au Monde par la région Ile-de-France.
Avec une simple recherche sur le mot-clé « PDF » dans le moteur de recherche du site, n’importe quel internaute pouvait accéder à des dizaines de curriculum vitae. « En fouillant un peu plus loin », les journalistes de Next INpact ont pu trouver d’autres documents.
Ceux-ci proviennent principalement de candidatures de stage et de contrats d’apprentissage envoyés à la région à travers le formulaire du site, qui permet de transmettre différents types de documents. Ceux-ci auraient normalement dû être stockés sur un espace privé, inaccessible des internautes.
« Changement de prestataire »
La région explique le problème par un « changement de prestataire en charge de l’hébergement ». « Les procédures d’exploitation préalablement définies et fournies au prestataire n’ont pas été correctement suivies, tient à préciser la région. Nous nous réservons un droit de recours contre l’hébergeur. »
Le problème a été réglé en moins de vingt-quatre heures : Next INpact en a informé mardi la région, qui a supprimé dans les heures qui ont suivi les documents du serveur. Le lendemain à midi, ces fichiers n’étaient plus accessibles. Afin de colmater la faille, la région précise :
« Nous avons demandé à nos prestataires en charge de la maintenance du site et de l’hébergement d’apporter en urgence toutes les mesures correctives nécessaires. »
Les documents d’entre cent et deux cents personnes seraient concernés. « On est toujours sur le diagnostic, explique-t-on à la mission numérique de la région Ile-de-France. On travaille avec nos prestataires, mais on n’a pas encore tous les éléments, ça prend du temps. » Seuls les documents transmis au site depuis un mois et demi seraient concernés.
La région a assuré qu’elle contacterait les personnes concernées « une fois le diagnostic achevé ». Et qu’elle travaillait d’ores et déjà sur un nouveau site Internet, prévu pour la fin du premier trimestre 2018, reposant sur une architecture plus moderne.
