C’est un joli pavé dans la mare que vient de jeter Le Canard Enchaîné. Dans son édition de ce mercredi 13 février, nos confrères ironisent, en titrant que « les as de la cyberdéfense ont laissé traîner leurs petits secrets sur le Web ». Et pour cause : des scripts PHP d’exportation du contenu des bases de données du site Web du Club de la sécurité de l’information français (Clusif) ont été, au moins un temps, accessibles sur Internet sans authentification. Pire encore, ils pouvaient être – et ont été – référencés par des moteurs de recherche. Parmi eux, Bing exposait encore ce matin du 13 février certains liens relatifs à ces scripts, avant de les supprimer de ses résultats de recherche.

Nos confrères semblent avoir pu consulter ces données, faisant état d’un total de « plus de 700 fiches individuelles et les coordonnées de près de 1500 responsables récemment inscrits pour suivre une formation maison ». De quoi, comme le relève Le Canard, « faire saliver les barbouzes du monde entier » avec notamment des coordonnées susceptibles d’être utilisées dans des campagnes de hameçonnage ciblé. Car dans le lot, semblaient se trouver, sans trop de surprise, des responsables de la sécurité informatique d’entités gouvernementales importantes, et même d’opérateurs d’importance vitale (OIV).

Dans un communiqué publié sur son site Web, le Clusif reconnaît que « des fichiers de données à caractère personnel relatives à ses membres auraient pu être consultées par des tiers depuis des moteurs de recherche. Le club assure toutefois que ses « équipes techniques ont procédé aux vérifications nécessaires et ont immédiatement mis en œuvre les mesures correctrices ». La Commission nationale informatique et libertés (Cnil) et les membres du club ont été informés dès ce 12 février. Sur LinkedIn, certains saluent « le travail des bénévoles » du club ainsi qu’une « gestion de l’incident exemplaire ». Mais le club ne reçoit pas pour autant que des lauriers pour cet incident.

Je ne félicite pas le @clusif pour sa très large exposition de données personnelles des acteurs publics et privés de la Cybersécurité française #Shameonyou #RGPD #DataBreach pic.twitter.com/ZLyzjuO9df — Jean-Philippe NAQUET (@jpnaquet) February 12, 2019

Dans son communiqué de presse, Jean-Marc Grémy, président du Clusif depuis septembre 2016, assure qu’il « ne s’agit pas d’un acte de malveillance » mais d’une « erreur humaine ». Cette affirmation ne va toutefois pas sans poser des questions sur la pertinence même de tels scripts d’exportation directement déposés sur le site Web du club. Ainsi que sur sa maintenance.

Le site Web du Clusif est hébergé chez NBS System, mais ce n’est pas lui qui en assure la maintenance. Et celle-ci pourrait bien ne pas être exemplaire. Selon Sucuri, le site présentait encore récemment un risque de sécurité « élevé », animé qu’il lui semblait être par une version datée de Wordpress – la rédaction a prévenu le club de ce constat. Bonne nouvelle toutefois, l’accès à l’interface d’administration n’apparaît pas ouverte à tous les vents.

Jointe par téléphone, la déléguée générale du Clusif, Luména Duluc apparaît toutefois moins affirmative que Jean-Marc Grémy. Et à la question de savoir si les scripts d’exportation étaient là en réponse à un besoin métier ou en raison d’une indélicatesse, d’un tiers souhaitant par exemple remplir son carnet d’adresses, elle répond que le sujet est « en cours d’investigation ». Elle indique également que la maintenance du site Web du club est assurée par un prestataire, « le même que le Canard Enchaîné », Bearstech, comme ce dernier le confirme d'ailleurs.