Deuxième faille de sécurité à la FDJ : les données personnelles des employés fuitent !

Alors que la Française des Jeux a connu une faille de sécurité importante paralysant son système le week-end du 14/15 avril, la société en cours de privatisation aurait connu une deuxième fuite de données personnelles. Cette fois, c’est le personnel qui est concerné !

Jamais deux sans trois dit l’adage. Après l’énorme incident du week-end du 14/15 avril que la FDJ présentait comme « un bug d’affichage » mais qui ressemblait plutôt à une fuite de données personnelles des utilisateurs, Damien Bancal, journaliste spécialisé en cybersécurité, explique que la FDJ aurait connu une deuxième faille simultanée de données personnelles. Et cette fois, c’est directement le personnel qui aurait été touché.

Nom, prénom, poste, mails professionnels, téléphone, CDI ou CDD…

Serait-ce la boite de Pandore qui se serait ouverte ? En tous cas, les affirmations de Damien Bancal, fondateur du site Zataz du nom du protocole qui permet d’identifier les cyber-failles de sécurité des sites web, font froid dans le dos. 

Un domaine de la société (projets-ssi-fdj.fr) s’ouvrait au regard des internautes. A la base, projets-ssi-fdj.fr demandait une authentification (login et mot de passe). Sauf qu’un sous domaine accolé à cette url permettait d’accéder aux données sans plus aucun sésame. Finis le login et le mot de passe. Bilan, [lesousdomaine].projets-ssi-fdj.fr offrait la possibilité de regarder du côté des 704 applications informatique de la FDJ, mais pas seulement !

Seulement, cette porte d’entrée menait à d’autres informations très sensibles, surtout à quelques semaines de l’application du RGPD. Ironiquement, le serveur destiné à responsabiliser le personnel de la FDJ était assez simplement accessible via l’adresse sensibilisation-ssi-fdj.fr.

N’importe qui pouvait alors avoir accès à toutes les données que possède l’entreprise sur son personnel, à savoir : nom, prénom, poste, identifiant du manager, adresses mails professionnelles, tokens d’authentification aux services, types du contrat (CDD, CDI, prestataires, stagiaires…), dates de début et de fin de contrat, numéros de téléphones professionnels et matricules.

Cerise sur la gâteau, Damien Bancal explique aussi avoir eu accès à un « shell » (un explorateur de fichier rendu à son plus simple appareil, aussi appelé interpréteur de commande) qui contenait l’intégralité des projets actuels et futurs de la FDJ, le tout répertorié dans un tableur Excel. 

Un espace qui contenait aussi le nom des projets, leur description ainsi qu’un document XLSX (doc) recensant des caractéristiques techniques sur la nature des projets tels que : version de serveur, type de connexion. etc. Bref, une mine d’informations pour quelqu’un ayant de mauvaises intentions.

Contactée par nos soins, la Françaises des jeux à souhaiter répondre à nos interrogations.

Il s’agit de mini-sites hébergés chez des prestataires, sans lien avec le système informatique de prises de jeu FDJ.

Le sujet n’a rien à voir avec l’incident technique interne d’affichage qui a eu lieu ce week end sur les sites fdj.fr et Parions Sport en ligne.

Dans le cadre des analyses menées par FDJ depuis le début de l’incident et conformément à ses pratiques internes, FDJ a détecté une faiblesse relative sur ces mini-sites et les a immédiatement fermés.

Les informations présentes sur ces mini-sites externes n’ont aucun rapport avec les clients FDJ, il s’agit d’informations professionnelles d’entreprise de type « formation interne » et « annuaire professionnel ». Aucune information relative à la vie privée des collaborateurs n’apparait, il s’agit uniquement d’informations professionnelles.

Conformément à ses procédures, FDJ a lancé une enquête pour savoir pour quelles raisons ces faiblesses sont apparues.

La fermeture de ces deux mini-sites est conforme à l’esprit du RGPD qui entrera en vigueur en mai prochain

 

Article mis à jour le 18/04/2018 à 9:53 après avoir reçu la réponse de la Française Des Jeux. 

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Lire les articles précédents :
Dépendance et EHPAD: Macron revient à l’ancien monde

Lors de son débat télévisé avec Edwy Plenel et Jean-Jacques Bourdin, le Président a évoqué la possibilité d'une deuxième journée...

Fermer