LDH Alès
Accueil du site > Fichiers scolaires : Campagne contre les livrets de compétences > fuite massive et irréversible de données education nationale

fuite massive et irréversible de données education nationale

mercredi 25 janvier 2012, par LDH-Ales

C’est l’histoire d’un banal serveur FTP, un serveur FTP du Ministère de l’Education Nationale…

le serveur de backup de l’éducation nationale est responsable d’une fuite de données personnelles, malheureusement irréversible.

il semble que ce serveur soit un serveur de sauvegarde, archivant à qui mieux mieux depuis 2006 ! (Allo la CNIL… we’ve got a problem) des données, principalement à caractère personnel, semblant émaner d’applications de l’éducation nationale. Et il y en a un sacré paquet. Tout bien rangé dans un répertoire nommé « priv » mais qui n’a malheureusement de privé que le nom puisque :

Tous ses sous-répertoires sont parfaitement accessibles publiquement Qu’un crawler russe les a indexé et répliqué… oui, irréversible nous vous disions donc.

Ces données sont donc accessibles sur un site miroir situé en Russie, on dit qu’elle sont désormais "mirorées".

le mail envoyé par reflets.info au responsable au Ministère de l’Education Nationale afin de prévenir de cette fuite est revenu en mode « failed permanently ». Comprenez que le mail du dit responsable n’existe pas, ou plus.

reflets.info a donc décidé de publier un article afin que l’Educ nat soit prévenue et fasse le nécessaire pour sécuriser son accès Internet qui répand jusqu’en Russie des données personnelles appartenant très probablement à des enseignants, avec nom, adresse, adresse e-mail, date de naissance, nationalité, niveau d’étude, numéro de téléphone, deux codes identifiants dont nous ne connaissons pas la signification…

Une telle masse de données nous laisse à penser que nous ne sommes en outre pas loin d’être en face d’une base de données recensant, non pas « quelques bahuts de test avec des données personnelles de test de quelques enseignants de test » comme l’expliqueraient certainement nos amis de TMG, mais en face d’une base bien plus large… nationale ?

source : http://reflets.info/le-serveur-de-test-de-backup-de-leducation-nationale/

c’est ça le problème du fichage informatique, les données finissent toujours par nous échapper et ceci de manière irréversible. Les coordonnées personnelles de tous les profs de France sont désormais accessibles sur un site en Russie avec 2 identifiants dont probablement le NUMEN qui sert pour toutes les procédures administratives à l’éducation nationale, y compris par exemple pour le vote électronique aux élections professionnelles. Quel peut -être le deuxième code ? le code i-prof qui permet de consulter et de gérer tout le dossier de carrière du prof ( tous ses diplomes, les bahuts où il est passé, sa messagerie professionnelle, son CV, ses notes administratives et pédagogiques et même ses rapports d’inspection là où la fonction est implémentée ?

mise à jour le 25 janvier :

le problème a été résolu le 19 janvier vers 10H00 du matin, soit 24 heures après la publication de l’information sur le site reflets.info.

Mais comme le signale un internaute : "Je veux dire par là vu le nombre de fois qu’il a du être pompé il est devenu presque éternel !!"

voici comment on pouvait s’y prendre avant que le problème ne soit résolu pour accéder aux données :

on faisait une petite recherche avancée sur google pour n’obtenir que des réponses en russe et on trouvait alors assez facilement cette adresse :
http://www.mmnt.net/db/0/13/trf.education.gouv.fr/priv/itrf/transferts/remonteministere/

à partir de cette adresse on pouvait consulter l’arborescence complète du site FTP grace à un simple logiciel de FTP et muni de l’adresse :
ftp://trf.education.gouv.fr/priv/itrf/transferts/remonteministere/
ou même dans un simple navigateur

on peut se rendre compte en regardant le listing des fichiers qui est toujours accessible que certains fichiers datent de 2011. Il s’agit donc d’une base de donnée qui a évolué de 2006 à 2011 et vraisemblablement nationale

Le listing permet également de reconnaitre des sigles tels que :
POPPEE -> Gestion des personnels des bibliothèques
ITARF -> Ingénieurs, Techniques, Administratifs de Recherche et de Formation

voilà ce qu’écrit une internaute apparemment débutante le 19 janvier 2012 at 1 h 27 min : "Il est toujours possible d’y accéder par Google en remontant juste le path[le chemin] de n’importe quel de leur PDF. Je suis sidérée"

on pouvait donc rapatrier jusqu’au 19 janvier les 338211 enregistrements, répartis dans 4042 fichiers textes qui contenaient les données confidentielles mais aussi tout un tas de fichiers qui provoquent la risée des internautes comme par exemple ces 2 fichiers pdf :
ftp://***.education.gouv.fr/***/educnet/secondaire/Les_TIC_pour_quoi_faire.pdf

ou bien carrément celui-ci :
ftp://xxx.education.gouv.fr/xxx/*******/chrgt/charteproj.pdf
je cite une partie de ce pdf :
« 4-5 Protection des données à caractère personnel de l’Utilisateur En application des dispositions de la loi Informatique et Libertés n° 78-17 du 6 janvier 1978 et de la directive européenne 95/46/CE relative à la protection des données personnelles et à la libre circulation de ces données du 24 octobre 1995, l’Etablissement s’engage à respecter les règles légales de protection de ce type de données.….. »

"Visiblement ce n’est pas une négligence du personnel du ministère de l’éducation nationale mais celle d’une société de service chargée du développement d’une application (Atos Origin). Cela fera peut être réfléchir les gens concernant l’externalisation de tout et n’importe quoi…" signale un commentaire

il est intéressant de savoir pendant combien de temps les données ont été quasi publiques , d’après les recherches d’un internaute pendant au moins 3 mois : "le ftp en question était connu depuis quelque temps ; en faisant une recherche sur pastebin :
http://pastebin.com/wfnLydnr/ (adresse ftp visible à la ligne 519)
il était dans une liste de de sites importants dont dont le compte annonymous du ftp était activé, et ça date d’octobre."

Il reste plusieurs questions en suspens

Quels sont précisément les 2 identifiants qui ont fuité ? numen ? code iprof ? autre ?

Quand le ministère compte-t-il changer tous ces codes puisqu’ils ont été accessibles pendant plusieurs mois et qu’entre la "révélation" de la fuite et la résolution du problème des milliers d’internautes se sont amusés à consulter et parfois dupliquer ces données ?

De demander aussi comment le ministère compte désormais s’assurer de la sécurité de ces données personnelles sensibles avant qu’un fuite n’ai duré plusieurs mois ?

Le ministère envisage-t-il de renforcer la sécurité des données concernant les élèves pour éviter ce genre de problème ? Hachage ? anonymisation ? autre ?

Le mieux ne serait pas d’en finir avec ce genre de bases de données, qui sont montées sans notre accord donc en totale violation des principes de la loi informatique et liberté , c’est à dire droit d’accès , de rectification et surtout bien sur le droit d’opposition !!!!

Comment les personnes dont les données personnelles ont fuité seront-elles indemnisées pour ce préjudice ? Quelles démarches doivent-elles entreprendre pour obtenir réparation ?

Que compte faire le législateur pour empêcher les fuites de données qui se trouvent dans plusieurs dizaines de fichiers administratifs que compte désormais notre pays ?

Webmestre : Benjamin Deceuninck | | Plan du site | Suivre la vie du site RSS 2.0