Les erreurs de configuration de sites permettant d'accéder très facilement à des données que l'on croyait pourtant bien cachées sont monnaie courante. De Bouygues Telecom à l'Alliance Française Ile-de-France en passant par l'ADEF ou encore Hertz, ce ne sont pas les exemples qui manquent. Mais quand on s'appelle le Clusif, le Club de la sécurité de l'information français, une telle erreur humaine parait un brin déplacée.
C'est le Canard Enchaîné qui a découvert le pot aux roses en révélant dans son édition du 13 février 2019 un accès libre à 2 200 données personnelles (700 fiches individuelles et 1 500 coordonnées incluant mails, téléphones, adresses...) des membres de cette respectable association. Parmi lesquelles celles concernant les RSSI, CISO et responsables sécurité de nombreuses organisations (présidence de la République, CEA, EDF, ministère des Finances, Quai d'Orsay, des opérateurs d'importance vitale...).
La Cnil notifiée de l'incident de sécurité
« Ces documents ne se seraient jamais baladés sur Internet si le Clusif s'était donné la peine de verrouiller correctement ses serveurs », pointe du doigt le journal. Pour y accéder, une simple requête dans le moteur de recherche du site du club avec les termes Clusif et CSV suffisait en effet à ouvrir la caverne d'Ali baba. Conscient du risque lié à cette révélation, le Canard a pris soin de contacter en amont de sa publication le Clusif afin de régler son souci de paramétrage.
« Compte tenu de cet événement, le jour même, une notification a été réalisée auprès de la Commission nationale de l’informatique et des libertés et nos membres ont été informés. Il ne s’agit pas d’un acte de malveillance, une erreur humaine a été commise dans la gestion de notre site Internet. Nous allons donc renforcer les actions de contrôle », a fait savoir le Clusif dans un communiqué.