RGPD : Nintendo et la FFF parmi les premiers sanctionnés sur les données personnelles

Parents, si votre enfant fait la tête ce matin c'est qu'il va être obligé de vous dire la vérité "Papa/maman, j'ai un compte sur les RS et il faut fournir vos données privées et personnelles pour que je puisse le récupérer" ! Bon #rgpd day #GDPRday à tous ! #cybersecurite@zatazpic.twitter.com/7x5UtlFS22

— Damien Bancal (@Damien_Bancal) 25 mai 2018

Dans certains cas, les parents doivent donc remplir un formulaire et fournir des documents justificatifs comme une copie de leur carte d’identité et un acte de naissance afin d’attester de la filiation de l’enfant. Le cas échéant, le compte auditionné sera supprimé. Quid de la requête si l’enfant a menti sur son âge ou son nom lors de la création de son compte ?

Le SAV de Nintendo ferme ses portes

Peine perdue pour tous ceux qui essayeraient de joindre le SAV de Nintendo. Depuis jeudi, la page d’accueil indique que « le site SAV de Nintendo est actuellement en cours de maintenance, merci de votre compréhension. »

Malheureusement, il semblerait que ce ne soit pas une simple maintenance ou mise à jour du système. Comme l’indique Damien Bancal, journaliste spécialiste en cyber-sécurité, il semblerait qu’une série d’attaques provenant de la fuite de données de Nintendo ait alerté les services concernés.

Ainsi, « des codes sources du portail étaient accessibles d’un clic de souris« . La réponse de l’éditeur de jeux-vidéos a été radicale : suppression de tous les fichiers incriminés.

Seulement, des données personnelles des utilisateurs auraient aussi fuités. Damien Bancal a pu constater que plusieurs devis étaient référencés directement sur Google. Apparaissaient alors : identité du client, adresse postale, numéro de dossier, produit à réparer, le montant de la réparation. 

Pour l’instant, aucune date de retour à la normale n’a été annoncée.

La FFF corrige une faille importante juste avant le RGPD

Le sport n’est pas non plus épargné par les problèmes informatiques. Et pour cause, les bases de données de la Fédération Française de Football comportent un nombre grandissant d’inscrits. Ainsi, des failles importantes de sécurité étaient constatées dans les pages des districts.

"Une faille XSS (cross site scripting) peut permettre de nombreuses actions malveillantes. Via une XSS, il est possible d’intercepter le cookie de connexion (et le pirate peut se faire passer pour la personne autorisée et connectée) ; afficher un message, une page pirate (phishing, fake news, …) ; automatiser le téléchargement d’un code malveillant. A chaque connexion, un fichier joint. Orchestré une attaque secondaire, via chaque connexion sur le site faillible" explique Damien Bancal.

Une faille qui n’est donc plus d’actualité puisqu’elle aurait été corrigée ces derniers jours. Impossible néanmoins de savoir si un acte malveillant a été réalisé ou non.

Pour autant, ce n’est pas la première fois que la FFF est touchée par ce genre de problèmes. En 2017, une base de données avait été piratée et revendue sur le darknet. Elle contenait près d’un million de données.