Les données personnelles des cadors de la cyberdéfense française ont fuité sur la Toile
Plus de 2 200 noms et coordonnées personnelles des principaux directeurs en sécurité informatique de la Nation étaient en accès libre sur le site Web du Clusif, le club des experts en sécurité informatique français.
Les cordonniers sont les plus mal chaussés, dit-on souvent. Il y a au moins un domaine pour lequel c’est malheureusement vrai, c’est celui des directeurs de la sécurité informatique. Ils fréquentent tous le Club de la sécurité des systèmes de l’information français (Clusif), qui réalise des études et organise régulièrement des conférences thématiques, des formations et des groupes de travail. Mais les conseils prodigués dans le cadre de ce « think tank du cyber » ne sont visiblement pas appliqués en interne.
Selon Le Canard Enchaîné, daté du 13 février, cette association a laissé traîner sur le Web la liste de ses adhérents et contacts, soit plus de 2 200 noms et coordonnées personnelles. Pour récupérer cette liste, il suffisait de faire une recherche avec les mots-clés « clusif » et « csv ».
Le fichier était hébergé par le Clusif, mais mal protégé. Une erreur ultra-classique dans la gestion des sites Web. « Une erreur humaine a été commise dans la gestion de notre site Internet. Nous allons donc renforcer les actions de contrôle », explique l’association dans un communiqué, tout en précisant avoir informé la Cnil de cet incident.
Dans cette liste ne figurait que du beau linge. Par exemple, le directeur de la sécurité informatique de l’Elysée ou l’officier de sécurité, l’inspecteur en chef et le responsable infrastructure de l’Autorité de sûreté nucléaire. Ou encore une vingtaine d’experts de l’état-major des armées, de la DGA et de la cyberdéfense française. On y trouvait aussi les responsables en sécurité informatique des « opérateurs d’importance vitale », ces deux cent entreprises que le gouvernement a jugé critiques pour le bon fonctionnement de la Nation. C’est ballot.
Alerté par le Canard, le Clusif a depuis retiré ces données de la Toile. Mais il est probable qu’elles continuent de circuler sur le Dark Web. Un carnet d’adresses comme ça, ça ne se perd pas.