X
Mon voisin, le Hacker !

News Partenaire

Mon voisin, le Hacker !

On a l’habitude de dire que l’été est une période propice aux cambriolages. Mais il en de même pour le piratage qui ne « baisse pas pavillon »… bien au contraire. En effet, la cuvée 2018 a été marquée par une série de cyberattaques diverses et variées. C’est l’occasion de rappeler que la cybersécurité est un enjeu crucial tant au niveau local que global, qu’il s’agisse de grandes entreprises ou de petites structures, du secteur privé ou public.

Vidéosurveillance, collecte excessive de données… la Cnil flingue l’École 42

La liste des manquements de l’école de Xavier Niel est longue : vidéosurveillance intrusive, images largement accessibles, données personnelles conservées indéfiniment, manque de sécurisation, défaut d’information… le gendarme des données personnelles a mis en demeure l’association de se mettre en conformité, et fissa !

Après les accusations de sexisme en son sein, l’École 42 de Xavier Niel se voit reprocher de nombreux manquements à la législation sur la protection des données. Les 12 et 13 février dernier, une délégation de la Cnil mène un contrôle dans les locaux de l’école, réputée pour son approche pédagogique originale. Et constate la présence de caméras autres que celles des chaînes de télévision lors des visites présidentielles. Les lieux sont en effet équipés de 60 caméras de vidéosurveillance utilisées « à des fins de protection des biens et des personnes ».

« Certaines permettent de visualiser les espaces de travail où sont installés les postes informatiques à disposition des étudiants, l’intérieur d’un amphithéâtre, des espaces de pause, une entrée desservant les sanitaires, ainsi que les postes de travail de plusieurs membres du personnel administratif » remarque la Cnil. Si filmer les accès ou des postes de travail dans des circonstances particulière (« par exemple lorsqu’un employé manipule des fonds ou des objets de valeur » signale l’autorité) est autorisé, le fait de filmer les lieux de vie et les postes de travail des employés se justifie beaucoup plus difficilement. « En l’espèce, aucun élément apporté par l’association ne permet de justifier que les étudiants et le personnel soient placés sous surveillance permanente » écrit le gendarme des données personnelles.

42 is watching you

Pire encore, ni les étudiants ni les personnes extérieures a l’établissement, ne sont correctement informés de cette vidéo surveillance. A aucun moment les destinataires des données ou la durée de conservation des images ne sont précisées. D’autant que les images sont accessibles par « le personnel administratif et les agents de sécurité ». Les étudiants, eux, n’ont droit qu’aux images en temps réel via « une application disponible sur le réseau intranet de l’école ». Or la Cnil considère que « l’accès aux images issues du système de vidéosurveillance doit être strictement réservé aux personnes habilitées au regard de leur fonction ». Et quand bien même, l’accès aux vidéos par les agents de sécurité requiert qu’ils renseignent sur une autre application « leur propre identifiant associé à un mot de passe de 5 caractères alphanumériques ». Ce qui fait un peu léger aux yeux de la Cnil, qui considère que la sécurité n’est pas suffisamment assurée.

Et il n’y a pas que la vidéosurveillance qui pose problème à 42. Lors de son contrôle, la Cnil a également été informée que les données renseignées par les candidats à l’entrée dans l’école, qui doivent pour se faire créer un compte, « sont conservées en base active sans limite de temps » et collectées sans « qu’aucune information relative au traitement des données n’est délivrée aux candidats, ni au moment de leur inscription aux différents tests, ni à l’occasion de leur entrée dans l’école ». De même pour les dossiers pédagogiques des étudiants « même lorsque ceux-ci ont quitté l’école ». Cette conservation indéfinie n’est pas, pour la Cnil, « proportionnée à la finalité du traitement ».

Des informations médicales et familiales conservées indéfiniment

Et on ne s’arrête pas en si bon chemin. En effet, dans lesdits dossiers pédagogiques, un champ est laissé libre pour que l’administration puisse « renseigner des informations permettant de justifier les choix pédagogiques effectués pour les étudiants ». Le gendarme des données personnelles y relève la présence d’informations sensibles, telles que l’état de santé ou la situation familiale de l’étudiant. « Été diagnostiqué de plusieurs maladies graves […], Entre le procès avec son ancien employeur, […]et sa dépression, [X] n'a pas du tout pu se consacrer à 42 , il a à nouveau rechuté dans la dépression , Sa mère a eu un cancer juste avant sa rentrée […] » par exemple. « L’inscription au sein de la base de données, à laquelle l’ensemble de l’équipe administrative accède, d’informations relatives à l’état de santé de l’étudiant ou à sa situation familiale, apparait disproportionnée au regard de la finalité du traitement, en l’espèce, la gestion pédagogique de l’étudiant » écrit la Cnil.

Mot de passe transmis par courriel

Enfin, l’École 42 génère automatiquement pour ses inscrits un mot de passe « d’une robustesse insuffisante  car composés de 8 caractères alphanumériques comprenant des lettres majuscules et minuscules ». « Ces mots de passe leur sont adressés dans un courriel en clair » remarque la Cnil, sans qu’il soit exigé des  étudiants qu’il définisse un nouveau mot de passe lors de leur première connexion. Le tout sans mécanisme de blocage des comptes après plusieurs échecs, ni mesure complémentaire d’authentification. L’école a deux mois pour se mettre en conformité.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Débats


Fin du réseau RTC

Encore 70 % des entreprises utilisent le Réseau téléphonique commuté, dit « RTC », analogique, dont les premières coupures sont prévues en 2023. Parmi les usages persistants de ce...

RSS
Afficher tous les dossiers

STOCKAGE NOUVELLE GÉNÉRATION - Prélèvement à la source : les éditeurs confiants - Multicloud : les Français entrent dans la danse - DEV : les langages à connaître... et ceux à éviter - Se former à l'IoT gratuitement - IPV6 : il est plus que temps ! - Rencontre avec Jean-Noël de Galzain, fondateur de Wallix et d'Hexatrust...

 

SÉCURITÉ IT : LES ENJEUX POUR 2019 - Quel O.S. pour l'auto numérique ? - GENZ, le serveur du futur - Rencontre avec Mounir Mahjoubi - Préparer l'après RTC - Au coeur d'Hexatrust : IDnomic ou l'identité innovante - Langages informatiques : quoi de neuf ? - Digital Learning Manager, le métier qui monte...

 

LOGICIELS D'ENTREPRISE : UNE TRANSFORMATION PROFONDE - Licences logicielles : éditeurs/entreprises, le clash ! - La 5G sort des labos - Windows Subsystem for Linux - Recherche désespérément ingénieurs système - 3 solutions pour booster le réseau WiFi - Rencontre avec Serge Tisseron : nous devons savoir à tout moment avec qui/quoi nous interagissons...

 

Afficher tous les derniers numéros

Au fur et à mesure que votre exposition à d’autres entreprises augmente, votre exposition au risque augmente également. Il ne s’agit pas uniquement de vos propres fournisseurs mais également les leurs. Comment pouvez-vous suivre toutes ces relations afin de gérer vos risques?


Pour répondre aux exigences de rapidité du modèle DevOps en conservant une cybersécurité efficace, de nouvelles approches doivent être adoptées en matière de sécurité de l'information, comme la sécurité intégrée, l’automatisation et la prévention proactive.


PROTECTION ENDPOINT NEXT-GEN : ÉVOLUTION OU RÉVOLUTION ?, un Livre Blanc SOPHOS.

Après la révolution Next-Gen Firewall de ces dernières années, une nouvelle révolution Next-Gen est cours dans le domaine de la sécurité des systèmes Endpoint. Au-delà du débat pour savoir s’il s’agit d’une révolution ou d’une simple évolution, il est certain qu’une série de nouvelles technologies est en train de rapidement émerger, en apportant une contribution significative à la lutte contre les menaces avancées.


En tant que professionnel de l'informatique, vous en avez sans doute assez d'entendre parler de transformation numérique. Après tout, vous vous occupez déjà d'optimiser la gestion des actifs et de déployer les programmes big data, tout en assurant la protection et la restauration de toutes les données de votre organisation. Or, la transformation numérique peut devenir un projet d'envergure qui ne consiste pas seulement à gérer des données, mais aussi à repenser entièrement le modèle de l'entreprise et/ou à développer une nouvelle stratégie produit innovante, dans les scénarios les plus ambitieux.

  


Atteignez vos objectifs de conformité tout en améliorant votre sécurité avec le PAM (Privileged Access Management = Gestion des accès à privilèges). Un Livre Blanc Wallix.

  


Tous les Livres Blancs
Derniers commentaires
Un joueur teste un jeu, dans le Tuer des zombies dans le désert, puis résoudre les énigmes d'un corsaire maudit avant d'embarquer à bord d'un vaisseau spatial: autant d'univers de réalité virtuelle qui seront bientôt ouverts à "Illucity" à Paris, et les salles dédiées à ces jeux devraient se multiplier en 2019. [Lire la dépêche...]

Pour échapper aux blocages imposés par Pékin à Google, Facebook et autres réseaux sociaux, les Chinois ont recours à des réseaux privés virtuels (VPN)Bloqué en Chine depuis belle lurette, Twitter, comme d'autres réseaux sociaux occidentaux, n'en est pas moins utilisé par les adversaires du régime communiste pour communiquer. Mais la censure sévit désormais aussi à l'extérieur de la Grande muraille informatique. [Lire la dépêche...]

Amazon va implanter deux nouveaux sièges à New York et dans la banlieue de WashingtonAlors que New York et la banlieue de Washington savourent d'avoir obtenu l'implantation de deux nouveaux sièges d'Amazon, le débat fait rage aux Etats-Unis sur les milliards de dollars d'incitations offertes par ces collectivités pour attirer le géant du commerce en ligne. [Lire la dépêche...]

La nouvelle polémique dans laquelle se trouve empêtré Facebook enflait vendredi avec les demandes d'explications pressantes de puissants sénateurs démocrates choqués par les méthodes d'une agence de relations publiques employée par le premier réseau social mondial pour décrédibiliser ses détracteurs. [Lire la dépêche...]

Ryan Kramer, photographié ici à San Francisco le 1er novembre 2018, a retrouvé son père biologique en 2005 par un site de test ADN.Il a suffi à Ryan Kramer d'un peu de salive et de neuf jours de recherches généalogiques pour découvrir l'identité de son père biologique, alors même que cet homme n'avait jamais testé son propre ADN et croyait qu'il ne serait jamais retrouvé. [Lire la dépêche...]

Jeff Bezos, en octobre 2018Des membres du Parlement européen ont appelé vendredi le PDG d'Amazon, Jeff Bezos, à cesser de distribuer via sa plate-forme de vente en ligne les produits portant des symboles soviétiques, offensant, selon eux, les victimes du régime. [Lire la dépêche...]

Une voiture électrique Volkswagen le 2 février 2016Le géant allemand de l'automobile Volkswagen, désireux de laisser les ravages du dieselgate derrière lui, a annoncé vendredi 44 milliards d'euros d'investissements pour accentuer son virage vers les voitures électriques et autonomes. [Lire la dépêche...]

Le fondateur de WikiLeaks Julian Assange sur le balcon de l'ambassade d'Equateur à Londres, le 19 mai 2017 Reclus depuis 2012 à l'ambassade d'Equateur à Londres, Julian Assange, le fondateur de WikiLeaks qui a publié en 2010 de nombreux documents confidentiels américains, a été inculpé secrètement aux Etats-Unis, a annoncé WikiLeaks jeudi soir. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

MAKER FAIRE

Du 23 au 25 novembre 2018, la Cité des sciences et de l’industrie à Paris accueille pour la deuxième fois la Maker Faire Paris. Organisée par Leroy Merlin.

TRUSTECH

Cet événement international dédié aux "technologies de la confiance" est organisé à Cannes (palais des festivals) du 27 au 29 novembre 2018. Organisé par Comexposium.

CLOUD EXPO EUROPE

Conjointement avec Data Centre World, Cloud Security Expo et Smart IoT Paris, le salon Cloud Expo Europe se tient les 27 et 28 novembre 2018 à Paris, Porte de Versailles. Organisé par CloserStill Media.

CES

CES CES

L'International Consumer Electronics Show (International CES) se tient du 8 au 11 janvier 2019 à Las Vegas (LVCC, Westgate, Renaissance, Sands/Venetian,...). C'est le plus grand salon mondial professionnel dédié aux technologies grand public : 3900 exposants et 170000 visiteurs attendus. Thématique principale de cette édition 2019 : The global stage for innovation. Organisé par la CTA (Consumer Technology Association).

RSS
Voir tout l'AgendaIT