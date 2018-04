Jamais deux sans trois dit l’adage. Après l’énorme incident du week-end du 14/15 avril que la FDJ présentait comme « un bug d’affichage » mais qui ressemblait plutôt à une fuite de données personnelles des utilisateurs, Damien Bancal, journaliste spécialisé en cybersécurité, explique que la FDJ aurait connu une deuxième faille simultanée de données personnelles. Et cette fois, c’est directement le personnel qui aurait été touché

Nom, prénom, poste, mails professionnels, téléphone, CDI ou CDD…

Serait-ce la boite de Pandore qui se serait ouverte ? En tous cas, les affirmations de Damien Bancal, fondateur du site Zataz du nom du protocole qui permet d’identifier les cyber-failles de sécurité des sites web, font froid dans le dos.

Un domaine de la société (projets-ssi-fdj.fr) s’ouvrait au regard des internautes.

A la base, projets-ssi-fdj.fr demandait une authentification (login et mot de passe). Sauf qu’un sous domaine accolé à cette url permettait d’accéder aux données sans plus aucun sésame. Finis le login et le mot de passe. Bilan, [lesousdomaine].projets-ssi-fdj.fr offrait la possibilité de regarder du côté des 704 applications informatique de la FDJ, mais pas seulement !

Seulement, cette porte d’entrée menait à d’autres informations très sensibles, surtout à quelques semaines de l’application du RGPD. Ironiquement, le serveur destiné à responsabiliser le personnel de la FDJ était assez simplement accessible via l’adresse sensibilisation-ssi-fdj.fr.

N’importe qui pouvait alors avoir accès à toutes les données que possède l’entreprise sur son personnel, à savoir : nom, prénom, poste, identifiant du manager, adresses mails professionnelles, tokens d’authentification aux services, types du contrat (CDD, CDI, prestataires, stagiaires…), dates de début et de fin de contrat, numéros de téléphones professionnels et matricules.

Cerise sur la gâteau, Damien Bancal explique aussi avoir eu accès à un « shell » (un explorateur de fichier rendu à son plus simple appareil, aussi appelé interpréteur de commande) qui contenait l’intégralité des projets actuels et futurs de la FDJ, le tout répertorié dans un tableur Excel.

Un espace qui contenait aussi le nom des projets, leur description ainsi qu’un document XLSX (doc) recensant des caractéristiques techniques sur la nature des projets tels que : version de serveur, type de connexion. etc. Bref, une mine d’informations pour quelqu’un ayant de mauvaises intentions.

Nous avons posé plusieurs questions à la FDJ. Nous sommes actuellement en attente de leurs réponses.