Depuis plusieurs années, le Service Civique recrute des jeunes de 18 à 25 ans pour mener des missions auprès d’associations, de collectivités, dans différents domaines. Existant depuis 2010, l’Agence du Service Civique a pu constituer une base de données de ces volontaires. Or, il se trouve que la société Comparitech a annoncé dans un blog avoir déniché sur le web une base de données comprenant 1,4 million d’enregistrements. Cette base était accessible sans mot de passe, ni mesures d’authentification.
Dans le détail, ces enregistrements (d'une taille de 5 Go) portent sur près de 374 000 volontaires avec des informations dites ELISA sur les contrats des missions (nom, prénom, numéro de SIRET, termes du contrat, ...), de 1 million de données web (nom, adresse email et mot de passe) et enfin un fichier recensant des contacts privilégiés.
Un prestataire à l’origine de l’incident
Alertée le 30 mai par les équipes de Comparitech, L’Agence du Service Civique a mené son enquête et a rapidement trouvé l’origine de l’exposition des données. Il s’agit d’un prestataire dont le nom n’a pas été divulgué, qui a téléchargé cette base de données d’anciens volontaires sur une plateforme de test. L’opération s’est déroulée le 25 mai et après l’alerte le 30 mai, l’organisme public a fermé dans la journée l’accès à cette base de données.
Pendant cette période, il déclare ne pas avoir eu connaissance d’intrusion malveillante sur cette plateforme. Une notification du problème a néanmoins été faite auprès de la Cnil et auprès du ministère de tutelle. Par ailleurs, l’Agence du Service Civique indique qu’un audit va être réalisé sur la sécurité de l’ensemble de ses systèmes.
Commentaire