Category Archives: Fail

Comment être certain que mon fils est gay ? ou l’homophobie d’un vendeur de logiciels espion

Posted on by

La petite enquête qui va suivre a été rédigée via le compte Twitter de l’amicale du Refuge.

Les propos en italique et entre étoiles sont ceux qui étaient disponibles sur le site internet de la société Fireworld.

 

La société Fireworld vend des logiciels pour *surveiller à distance l’activité d’un ordinateur*, pour le moment, tout va bien, mais ladite entreprise propose grâce à son logiciel de *savoir si son fils est gay* dans un article intitulé *comment être certain que son fils est gay ?*

Vous noterez que l’article est illustré avec la photo de .

*Cet article vous aidera à déterminer si oui ou non votre fils est gay.* : Le ton est donné, *Vous pensez que votre fils est gay ? Certains éléments ne trompent pas*

*Les indices pouvant indiquer que votre fils est gay : Voici les éléments qui accentueraient la probabilité que votre fils soit gay* :

*si vous parveniez à pirater son compte Facebook , il ne serait qu’une question de minutes pour déterminer si oui ou non votre fils est gay*, *Pour cela, nous avons une solution remarquablement efficace, et qui fait tous les jours parler d’elle: le logiciel espion pc.*

*Vous voulez donc vraiment vous assurer de l’orientation sexuelle de votre fils ? Car oui, vous vous dites certainement que si il est gay vous ne serez peut-être jamais grand-parent et vous n’aurez pas le bonheur de connaître vos petit-fils. Malheureusement, sur ce point, il ne faut pas se montrer égoïste : si votre enfant est gay, il n’y peut rien car ce n’est pas un choix de sa part. Vous devriez l’accepter tel qu’il est car après tout, tant qu’il ne se met pas à porter des robes et à se mettre du rouge à lèvres il est tout aussi normal que n’importe quel autre jeune de son âge.*

*VÉRIFIER SI IL VISITE DES FORUMS À TENDANCE GAY : Le monde des gays est relativement restreint et méconnu*.

*Utiliser notre logiciel espion pour surveiller un ordinateur à distance est un bon moyen de découvrir si votre fils fréquente de tels forums, le point important est de savoir à quelles communautés et groupes il appartient sur les réseaux sociaux une fois son compte Facebook piraté tout simplement en regardant depuis son propre compte les groupes qu’il a rejoint. Si certains groupes s’intitulent *Les gays so swag* ou encore *Gays de France*, alors à ce moment-là le doute n’est plus permis, et vous saurez enfin la vérité.*

*ESPIONNER SES MESSAGES PRIVÉS : Dans votre quête pour répondre à la question que vous vous posez depuis le début, comment savoir si mon fils est gay, la plus puissante arme qui puisse être de votre côté est l’accès à ses messages privés.*

*En effet, il est certain à 100% que dans le cas où il serait gay, votre fils a déjà envoyé des messages à d’autres garçons gays. La plupart de ces connaissances se font via le réseau social Facebook, qui facilite grandement le rapprochement entre homosexuels car il permet de rentrer en contact facilement avec des personnes clairement identifiées comme étant gay.*

*Espionner un ordinateur se révélera simple et efficace, dans le but de pirater un compte Facebook afin d’obtenir une réponse sur comment savoir si mon fils est gay.*

Vous aurez notez que ces gens parlent uniquement d’homosexualité masculine. Assez révélateur.

Coucou la CNIL.

Fireworld semble faire du ménage, ils viennent de supprimer l’article initial, oubliant le doublon :

Ce n’est pas tout, Fireworld a contacté l’Amicale du Refuge, affirmant que « Ces articles avaient pour seul but d’améliorer le référencement & n’étaient pas destinés à être lus par des humains » :

Mais avec une petite recherche sur Twitter…

Concernant la gestion de la société Fireworld, de nombreux éléments pointent vers Edouard Lamoine, un ancien étudiant de Télécom Lille résidant à Versailles  :

Dans un tuto faisant la publicité de Fireworld est indiqué un peu partout le nom d’Edouard :

L’Amicale des jeunes du Refuge a sollicité par mail, téléphone, SMS, et via Facebook Edouard Lamoine. ils n’ont obtenu aucune réponse. Il fait du ménage derrière lui.

OuiCar pas foutu de protéger des données personnelles s’en prend à Zataz

Posted on by

Il y a trois jours, la CNIL addressait un avertissement à Ouicar concernant un manquement à l’obligation de sécurité et de confidentialité des données.

De nombreux médias ont réalisé des articles sur cette information : NextInpact : OuiCar.fr averti publiquement par la CNIL pour violation de données personnelles.

Numerama : Données personnelles : la Cnil sanctionne OuiCar et Hertz pour leurs failles de sécurité.

CIO-Online : La CNIL sanctionne OuiCar.

linformaticien.com : La Cnil épingle OuiCar.fr pour son utilisation des données personnelles.

Le Figaro : La Cnil épingle OuiCar pour violation des données personnelles de ses utilisateurs.

itespresso : OuiCar rappelé à l’ordre par la CNIL pour des données en accès libre.

L’histoire commence assez simplement : Zataz signale à la CNIL une brèche de données persos sur OuiCar.fr, dans la prose de la CNIL ça donne cela :

En juillet 2016, l’éditeur du site www.zataz.com a informé les services de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission) d’une violation de données à partir du site www.ouicar.fr . Il lui a ainsi transmis deux exemples d’URL (Uniform Resource Locator) permettant d’accéder à des données à caractère personnel.

Mais, au lieu de remercier Zataz (chose qui serait logique), l’avocat de OuiCar contre-attaque, un peu comme si ladite société demandait la carte du club de lanceurs d’alerte à Zataz :

« Elle affirme, par ailleurs, que la vérification de la violation de données par l’éditeur du site www.zataz.fr avait un caractère frauduleux dès lors que ce dernier ne bénéficie pas du statut protecteur des lanceurs d’alerte. »

Selon Marc Rees de NextInpact, ceci est la conséquence de la loi qui a autorisé ce dispositif, en effet, un amendement voulant organiser l’irresponsabilité pénale du déclarant a été rejeté.

Conclusion :

OuiCar, pas foutu de protéger des données personnelles de ses clients, s’en prend à Zataz, tant que le texte de loi sera un demi texte, ça se répétera, encore et encore.

La délibération de la CNIL est disponible sur le site de LegiFrance sous la référence SAN-2017-011 :

Délibération SAN-2017-011 du 20 juillet 2017

Commission Nationale de l’Informatique et des Libertés

Délibération n°SAN-2017-011 du 20 juillet 2017
Délibération de la formation restreinte n° SAN-2017-011 du 20 juillet 2017 prononçant un avertissement public à l’encontre de la société OUICAR
Etat: VIGUEUR

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Jean-François CARREZ, Président, de M. Alexandre LINDEN, Vice-président, Mme Dominique CASTERA, Mme Marie-Hélène MITJAVILE et M. Maurice RONAI, membres ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 45 et suivants ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés du 25 mars 2007 ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu les décisions n° 2016-226C et 2016-231C du 27 juillet 2016 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder, d’une part, à une mission de vérification de tous traitements relatifs au site OUICAR.FR et, d’autre part, à une mission de vérification auprès de la société OUICAR ;

Vu la décision de la Présidente de la Commission portant désignation d’un rapporteur devant la formation restreinte, en date du 20 avril 2017 ;

Vu le rapport de Monsieur François PELLEGRINI, commissaire rapporteur, notifié par lettre recommandée avec avis de réception à la société OUICAR le 11 mai 2017 ;

Vu la demande de huis clos de la société OUICAR du 23 mai 2017 à laquelle il n’a pas été fait droit par courrier du 6 juin 2017 ;

Vu les observations écrites de la société OUICAR reçues le 8 juin 2017, ainsi que les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier ;

Etaient présents, lors de la séance de la formation restreinte du 22 juin 2017 qui s’est tenue publiquement :

M. François PELLEGRINI, Commissaire, en son rapport ;

Maîtres X et Y, en qualité de conseils de la société OUICAR ;

M. Z, Directeur Technique de la société ;

M. W, Directeur Opérations et Finances de la société.

Mme Nacima BELKACEM, Commissaire du Gouvernement, n’ayant pas formulé d’observations ;

Les conseils de la société OUICAR ayant eu la parole en dernier ;

A adopté la décision suivante :

Faits et procédure

La société OUICAR (ci-après la société ), anciennement dénommée ZILOK AUTO, a été créée le 27 juillet 2012 et emploie 45 salariés. Son siège social est situé 9, rue du 4 septembre à Paris (75002). Elle édite le site internet www.ouicar.fr , plateforme de location de véhicules entre particuliers, qui compte […] membres et propose entre […] et […] véhicules à la location sur toute la France.

En juillet 2016, l’éditeur du site www.zataz.com a informé les services de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission) d’une violation de données à partir du site www.ouicar.fr . Il lui a ainsi transmis deux exemples d’URL ( Uniform Resource Locator ) permettant d’accéder à des données à caractère personnel.

En application des décisions n° 2016-126C et n° 2016-231C de la Présidente de la CNIL du 27 juillet 2016, des délégations de la Commission ont procédé à des missions de contrôle en ligne du site www.ouicar.fr les 29 juillet 2016 et 31 janvier 2017, ainsi qu’à un contrôle sur place au sein des locaux de la société OUICAR le 3 août 2016. Les procès-verbaux de constats n° 2016-226/1, n° 2016-226/2 et n° 2016-226/3, dressés à l’issue de ces missions, ont été notifiés à la société respectivement les 1er et 5 août 2016 et le 6 février 2017.

Lors de la mission de vérification en ligne réalisée le 29 juillet 2016, la délégation de contrôle a saisi dans la barre de son navigateur l’URL https://www.ouicar.fr/api/car/search?dpt=75 .

Elle a constaté qu’aucune page web n’était affichée mais que l’adresse URL renvoyait des données au format JSON (JavaScript Object Notation), qui est un format directement lisible, correspondant à la réponse d’une interface de programmation applicative ou API (Application Programming Interface) d’un service web.

Elle a ainsi eu accès à une liste des données des véhicules proposés à la location en Ile de France par le site www.ouicar.fr , ainsi qu’aux données de leurs propriétaires et des locataires ayant déposé un ou des avis sur la prestation offerte. Les données affichées étaient structurées en plusieurs parties, dénommées de la façon suivante :

cars décrivant notamment la marque et le modèle du véhicule et indiquant le prix de mise en location ;

owner relative au propriétaire du véhicule, comportant les champs suivants : nom, prénom, adresse postale, téléphone fixe ou portable, date de naissance, numéro de permis de conduire et date d’obtention du permis ;

location reprenant les éléments permettant de localiser le véhicule : l’adresse postale, complétée par l’indication de sa longitude et de sa latitude ;

evaluations ayant trait aux commentaires laissés par des utilisateurs à la suite de la location du véhicule et comprenant les nom, prénom et identifiant de l’auteur du commentaire ;

events reprenant les données à caractère personnel du propriétaire et d’autres utilisateurs.

La délégation de contrôle a constaté qu’il était possible de consulter les données des utilisateurs pour l’ensemble des départements français, à l’exclusion de Saint-Pierre-et-Miquelon, en modifiant la variable correspondant au numéro de département dans l’URL saisie dans le navigateur. Elle a ainsi eu accès à une liste comportant les noms et prénoms de tous les propriétaires et locataires d’un véhicule proposé à la location au moment de la recherche, associés dans la plupart des hypothèses à leur adresse, numéro de téléphone fixe et/ou portable et à la localisation de leurs véhicules, soit aux données de 52 505 personnes.

Elle a, par ailleurs, constaté qu’il était également possible d’accéder aux données de n’importe quel utilisateur en indiquant cette fois comme variable l’identifiant attribué à un utilisateur donné, c’est-à-dire en saisissant une URL du type https://www.ouicar.fr/api/v1/user/get?id=347242 .

A l’issue du contrôle du 29 juillet 2016, la délégation a pris contact avec la société pour l’informer de l’existence d’une violation de données à caractère personnel sur le site.

Le 1er août 2016, la société a répondu qu’elle avait effectué des modifications significatives du code de son site web et envisageait de mettre en production une nouvelle version du site dès le lendemain soir.

Lors d’une deuxième mission de contrôle effectuée au sein des locaux de la société OUICAR le 3 août 2016, la délégation a été informée que les API à l’origine de la violation de données avaient été soit supprimées soit modifiées. La société a, en effet, supprimé les API devenues obsolètes et conservé celles nécessaires à l’affichage du site web mais en modifiant leur réponse de sorte que les données transmises soient identiques à celles affichées sur la page web et donc correspondent uniquement à celles nécessaires à la fourniture du service. Les modifications de ces API ont été effectives le 2 août 2016 à 19 heures.

Par ailleurs, en réponse à une demande de la délégation, la société a indiqué dans un courrier du 11 août 2016 qu’il n’était pas possible de déterminer avec précision la date de mise en production des API qui avaient permis d’accéder librement aux données des utilisateurs. Elle a néanmoins précisé que le site web de la société avait été créé en juillet 2012 et qu’il était établi que les API étaient déjà mises en production en novembre 2013.

[…]

Le 31 janvier 2017, la délégation a procédé à de nouvelles vérifications en ligne et a constaté que la saisie des URL litigieuses dans la barre du navigateur ne permettait plus d’accéder à des données à caractère personnel.

Aux fins d’instruction de ces éléments, la Présidente de la Commission a désigné M. PELLEGRINI en qualité de rapporteur, le 20 avril 2017, sur le fondement de l’article 46 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.

A l’issue de son instruction, le rapporteur a notifié à la société OUICAR, le 11 mai 2017, un rapport détaillant le manquement à la loi Informatique et Libertés qu’il estimait constitué en l’espèce.

Ce rapport proposait à la formation restreinte de la CNIL de prononcer un avertissement public.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du 22 juin 2017, indiquant à l’organisme qu’il disposait d’un délai d’un mois pour communiquer ses observations écrites.

Le 23 mai 2017, la société OUICAR a sollicité que les débats se déroulent à huis clos, ce qui a été refusé par courrier du Président de la formation restreinte du 6 juin suivant, considérant qu’aucun risque d’atteinte à l’ordre public ou à la protection de secrets protégés par la loi n’était caractérisé.

La société a produit le 8 juin 2017 des observations écrites sur le rapport, réitérées oralement lors de la séance de la formation restreinte du 22 juin suivant.

Lors de la séance du 22 juin 2017, la société a renouvelé sa demande de huis clos, à laquelle le Président de la formation restreinte a décidé, pour les mêmes motifs, de ne pas faire droit.

Motifs de la décision

L’article 34 de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Il appartient à la formation restreinte de décider si la société OUICAR a manqué à l’obligation lui incombant de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel contenues dans son système d’information et, en particulier, celles des utilisateurs du site www.ouicar.fr , afin notamment que ces données ne soient pas accessibles à des tiers non autorisés.

En défense, la société soutient que la violation de données résulte d’une simple erreur de code, qui est très répandue et qui n’a causé aucune atteinte à la vie privée des personnes concernées.

Elle affirme, par ailleurs, que la vérification de la violation de données par l’éditeur du site www.zataz.fr avait un caractère frauduleux dès lors que ce dernier ne bénéficie pas du statut protecteur des lanceurs d’alerte.

Elle soutient, en outre, que seule une obligation de moyens et non de résultat était à sa charge et qu’elle a déployé tous les moyens nécessaires afin d’assurer la sécurité des données des utilisateurs. Elle fait, enfin, valoir qu’elle a pris de nombreuses mesures correctives après la révélation de la violation de données.

La formation restreinte relève que le statut de l’éditeur du site www.zataz.fr est sans incidence sur la procédure qui a conduit à sa saisine, les faits et manquements reprochés se fondant sur les seules constatations effectuées par les agents de la CNIL lors des missions de contrôle. Elle note, à cet égard, que les constats de la délégation sont corroborés par la société qui ne conteste pas la survenance d’un incident de sécurité sur le site www.ouicar.fr ayant entrainé une violation de données à caractère personnel.

Tout en soulignant la bonne foi de la société OUICAR qui a réagi immédiatement après la révélation de la violation de données, la formation restreinte estime qu’elle n’avait pas pris en amont les mesures élémentaires de sécurité qui s’imposaient.

La formation restreinte considère, d’une part, que la société aurait dû mettre en place un processus d’authentification permettant de restreindre l’accès aux résultats affichés par les API. Cette simple mesure aurait permis d’empêcher que tout internaute puisse interroger et consulter librement les réponses de ces dernières. D’autre part, la formation restreinte relève que la violation de données aurait pu être réduite si la société avait veillé à n’intégrer dans les réponses des API que les seules données strictement nécessaires à l’affichage de son site web. Elle note que cette mesure de sécurité aurait notamment permis de ne révéler que la première lettre du nom patronymique des utilisateurs et non l’intégralité de ce dernier.

La formation restreinte relève, de surcroît, que cet incident de sécurité a été d’une particulière ampleur en raison du nombre de personnes impactées et de la multitude des catégories de données concernées. Elle rappelle, en effet, que la saisie des URL litigieuses permettaient d’accéder aux données de l’ensemble des utilisateurs du site, soit plus de […] personnes, et d’obtenir ainsi des renseignements particulièrement précis sur ces derniers tels que leurs nom, prénom, date de naissance, date de délivrance et numéro de permis de conduire, adresse postale, coordonnées téléphoniques et données de localisation des véhicules mis en location.

La formation restreinte considère, par ailleurs, que la gravité de cette fuite de données a été accentuée par sa durée. Elle rappelle que les données à caractère personnel sont restées librement accessibles pendant près de trois ans puisque les API se trouvant à l’origine de la violation de données ont été mises en production entre juillet 2012 et novembre 2013. La résolution de la violation de données date, quant à elle, d’août 2016.

Par conséquent, la formation restreinte considère que la société n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées.

Sur la sanction et la publicité

Au regard des éléments développés ci-dessus, les faits constatés constituent un manquement aux dispositions de l’article 34 de la loi du 6 janvier 1978 modifiée.

La formation restreinte considère que la gravité de la fuite de données justifie que soit prononcé à l’encontre de la société OUICAR un avertissement, eu égard au volume important de personnes concernées, à savoir plus de […] personnes, à l’étendue des données à caractère personnel rendues accessibles et à la durée de la violation.

Ces mêmes circonstances conduisent la formation restreinte à rendre publique sa décision.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :

de prononcer un avertissement à l’encontre de la société OUICAR ;

de rendre publique sa délibération, qui sera anonymisée à l’expiration d’un délai de deux ans à compter de sa publication.

Le Président

Jean-François CARREZ

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.

Nature de la délibération: SANCTION
Date de la publication sur legifrance: 26 juillet 2017

 

Remerciements : Marc Rees & Bluetouff.

Quand la Préfecture des Yvelines se fout un peu de vos données personnelles

Posted on by

Vous avez aimé l’article « L’université, webdiploma, le sysadmin, TLS, et la couche 8 » ?

Il s’agit en quelque-sorte du second épisode.

Désormais depuis fin 2013, les permis de conduire sont sous format carte de crédit, fini le « papier rose ».

À la Préfecture des Yvelines, il faut prendre rendez-vous pour le récupérer, il n’y a pas d’envoi par lettre recommandée.

Une fois votre permis reçu par la préfecture, vous recevrez un SMS afin de prendre ce RDV.

Mais pour prendre ce fameux RDV, il faut aller sur le site internet : http://www.yvelines.gouv.fr/

Vous allez tomber sur un truc qui ressemble à cela :

Des infos persos ? Sur une page en clair ?

Bon, tentons d’ajouter un petit S pour faire HTTPS, peut-être que ce n’est pas disponible par défaut  :

Non, Firefox trouve cela chelou aussi.

Et si on y regardait de plus près…

Hop, un petit tour sur SSL Labs et sur CryptCheck :

 

 

 

Configuration problématique (entres-autres) :

  • Taille de la clé du certificat : 1024 bits.
  • Signature du certificat : SHA1withRSA.
  • Présence de SSLV3 : PODDLE.
  • Présence de MD5.
  • Présence de RC4.
  • Présence de DES3.
  • Présence d’un DH d’une taille de 1024 bits.

Suites de chiffrement périmées (entres-autres) :

  • TLS_ECDHE_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

Ah, vu que c’est tout le site qui est touché, même problème pour le formulaire de contact :

(Merci à Stéphane).

Conclusion :

  • Des données personnelles passent en clair sur un site en .gouv.fr, et il n’y a pas possibilité de passer en chiffré.
  • Même si elles passaient en chiffrées, vu la configuration c’est un peu comme si elles passaient en clair.
  • Les citoyens sont obligés d’utiliser ce service non-sécurisé afin de prendre RDV pour récupérer le précieux sésame.
  • Le responsable est astreint à une obligation de sécurité, le fait de ne pas avoir mis en oeuvre les moyens de protection est puni sévèrement par la loi.