Le Clusif victime d’une faille de sécurité majeure

L’adage selon lequel « les cordonniers sont les plus mal chaussés » s’est appliqué en février au Club de la sécurité de l’information française (Clusif), selon les révélations du Canard enchaîné. En effet dans son édition du 12 février, l’hebdomadaire signalait qu’il suffisait de taper dans Bing, le moteur de recherche de Microsoft, Clusif + CSV (un format de fichier texte utilisé pour les bases de données) pour obtenir les données personnelles des quelque 700 membres de ce club de spécialistes de la sécurité informatique, qui sont des RSSI, des responsables sécurité de nombreuses organisations (présidence de la République, CEA, EDF, ministère des Finances, ministère des Affaires étrangères, grandes banques et opérateurs d’importances vitales). Avant même la parution, le Canard enchaîné a signalé l’anomalie au Clusif qui, dans un communiqué de presse, affirme avoir pris les mesures qui s’imposent : « Le Clusif tient à vous informer qu’il a été prévenu que des fichiers de données à caractère personnel relatives à ses membres auraient pu être consultés par des tiers depuis des moteurs de recherche. Nos équipes techniques ont procédé aux vérifications nécessaires et ont immédiatement mis en œuvre les mesures correctrices. Compte tenu de cet événement, le jour même, une notification a été réalisée auprès de la Commission nationale de l’informatique et des libertés et nos membres ont été informés. Il ne s’agit pas d’un acte de malveillance, une erreur humaine a été commise dans la gestion de notre site Internet. Nous allons donc renforcer les actions de contrôle. »