En cette période de forte concurrence pétrolière, voilà une fuite qui aurait pu faire très mal à la filiale du groupe pétrolier Total. L'entreprise Hutchinson, spécialisée dans les systèmes d'étanchéité, isolation vibratoire, acoustique et thermique, en passant par les transferts de fluides, systèmes de transmission et mobilité ou encore dans le domaine de protection et soin, avait un de ses serveurs très sensibles ouvert sur la toile. Plus de 2 000 dossiers, dont des documents qui auraient pu tomber entre de très mauvaises mains concurrentielles. D'après ce que la rédaction de ZATAZ.COM a pu constater, cet espace sensible a été référencé dans au moins deux moteurs de recherche. L'un d'eux affiche même un référencement datant d'au moins le mois de janvier 2009. Dans cet espace, des dossiers, backup, dont un datant tout de même de septembre 2006. Comme nous le faisons à chaque découverte d'un tel espace, nous mettons en place notre protocole d'alerte. L'entreprise, par le biais de sa responsable de communication, n'a pas tardé à réagir. L'espace a été corrigé, et les remerciements n'ont pas tardé.
Internet, l'entreprise et les pirates
ZATAZ.COM signe, avec cette nouvelle aide, sa 7.500ème alerte à l'encontre d'une entreprise, association, entité étatique Françaises. En seulement deux mois, nous avons pu repérer, ou être informés, de 284 cas identiques à Hutchinson. Faut-il s'en inquiéter ? Oui.
L'année dernière, à la même date, nous n'étions qu'à 96 alertes.
Sur la période de septembre 2008 à février 2009, nous avons eu 1 022 cas. 1 001 ont corrigé dans la journée de notre courrier d'alerte. 833 ont répondu à notre courriel d'alerte par le biais d'un remerciement. Une entreprise nous a envoyé devant les tribunaux pour diffamation [lire]. Cinq entreprises n'ont toujours pas corrigé, à ce jour, un espace, une vulnérabilité qui laisse fuir des données sur Internet.
Protection des données
Le 28 janvier dernier était lancée la 3ème journée européenne de la protection des données. Alex Türk, président du G29 et de la CNIL, annonçait que cette 3ème Journée de protection des données personnelles donnait à l'ensemble des autorités de protection des données l'occasion de rappeler, avec force, le droit élémentaire de chacun à la protection de ses données personnelles. Il n'est en effet pas concevable que dans nos pays, où l'on inscrit le droit à la protection des données parmi les droits fondamentaux imprescriptibles tels que la liberté d'aller et venir ou la liberté de la presse, nos concitoyens n'aient pas une pleine conscience de l'importance de ce droit et pour certains, n'en connaissent pas même l'existence. "À cet égard, il serait particulièrement bienvenu d'instaurer, chaque année, une journée voire une semaine mondiale de la protection de la vie privée et des données personnelles, comme l'a recommandé à l'unanimité, la 30ème conférence mondiale des autorités de protection des données en octobre dernier." indiquait le président de la CNIL.
Rappel de la loi
La durée de conservation des informations n'est pas éternelle. Les données personnelles ont une date de péremption. Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d'emprisonnement et de 300 000 € d'amende. (art. 226-20 du code pénal).
En ce qui concerne la sécurité des fichiers. Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux) et logiques (sécurité des systèmes d’information) adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d'emprisonnement et de 300 000 € d'amende. (art. 226-17 du code pénal).
Il en va de même pour la confidentialité des données. Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Comme le rappel la CNIL, il s’agit : des destinataires explicitement désignés pour en obtenir régulièrement communication, des « tiers autorisés » ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc). La communication d’informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de 300 000 € d'amende.
La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende. (art. 226-22 du code pénal)
Auteur : Damien Bancal, ZATAZ
