Le site de la FDJ fermé après avoir laissé fuiter les données personnelles de ses usagers !

Présenté comme un bug d’affichage, l’incident qui touche les sites La Française des Jeux et Parionssport pourrait être plus grave que prévu. Les données personnelles des utilisateurs auraient été communiquées durant le week-end du 14/15 avril !

Joueurs et parieurs ont eu la mauvaise surprise de ne pas pouvoir accéder au site et aux applications de la Française des jeux ce week-end du 14/15 avril. Et si les médias traditionnels se sont attelés à mettre en avant le communiqué officiel qui parle d’un « incident technique interne pouvant se traduire par des incohérences d’affichages à l’écran », Damien Bancal, journaliste spécialisé en cybersécurité, évoque une toute autre problématique.

Les données personnelles d’utilisateurs visibles par tous !

Et comme pour la faille Infogreffe, qui rappelons-le nous a été présentée comme une « facilité de navigation », il n’y avait pas besoin d’être un hacker chevronné pour s’en prendre aux clients de la FDJ. Dans les premières heures du week-end, il suffisait de se connecter à son propre compte pour voir s’afficher toutes les données d’un autre joueur. En clair, nom, prénom, adresse mail mais aussi dernier jeu et paris étaient à la portée de tout le monde ! Et à chaque nouvelle connexion, les informations d’un nouvel utilisateur piochées dans la base de données de la FDJ étaient visibles.

La FDJ explique que :

Le système n’a pas été hacké, il s’agit bien d’un incident interne. Le fichier général des clients est resté totalement sécurisé au cœur du Système d’Information FDJ. On vérifie la nature de toutes les anomalies d’affichage mais il faut rappeler qu’aucun moyen de paiement CB n’est visible sur le site, les informations CB sont cryptées au cœur de nos systèmes sans affichage visible. 

Damien Bancal précise que « si les premières alertes sont apparues samedi matin chez Zataz, les sites web et les applications affichaient encore dimanche soir, soit après plus de 24h de panne [ces données personnelles]. » Une affirmation réfutée en bloc par la FDJ : « la suspension a eu lieu samedi à 10h30 dès qu’on a eu connaissance des anomalies.« 

 

C’est seulement ensuite que le fameux message de suspension de tous les services de la FDJ est apparu. A l’heure où nous écrivons cet article, la FDJ précise que ses services sont suspendus depuis « le samedi 14 avril » et qu’un retour à la normal est prévu pour ce « lundi 16 avril. »

La FDJ sera-t-elle prête pour le RGPD ?

Cette faille arrive au pire moment pour la FDJ qui a annoncé réfléchir à une entrée en bourse d’ici peu. D’après le « Journal du dimanche » du 8 avril, l’Etat pourrait céder environ 50% du capital de l’entreprise sur les 72% qu’il détient. L’Etat ne conserverait alors qu’une « minorité de blocage ».

De plus, cette faille tombe logiquement sous le coup du RGPD qui sera applicable dès le 25 mai prochain. Pour l’instant, il est impossible de savoir si la CNIL s’est saisie du dossier. Contactée à son tour, la FDJ n’a pas souhaité préciser combien de joueurs avaient été touchés !

Cet incident révèle aussi plusieurs problèmes bien plus graves. D’abord, que la France, aussi bien les entreprises que l’Etat, ne sera jamais prête à faire face au RGPD. De plus, il faut aussi déplorer le manque de considération des problématiques numériques de la part de la FDJ, société toujours détenue à 72% pour l’Etat français. Le problème n’a été pris en compte qu’en fin de soirée dimanche. Où étaient les ingénieurs durant le week-end ? Quid de la gestion de crise ?

Deuxième au niveau de la communication. En plus d’appuyer encore un peu plus le fait que le gouvernement se permet d’édicter des règles aux entrepreneurs qu’il n’est pas lui-même capable de suivre, il faut pointer du doigt la communication tout sauf transparente de la FDJ.

Pour autant, la FDJ affirme que « l’impact financier très minime car le jeu numérisé représente 10% des ventes, l’incident est survenu un week end et les clients ont pu joué dans le réseau qui est resté ouvert.« 

La FDJ a répondu à plusieurs de nos questions. D’abord sur l’origine de l’incident. « Il y a eu des problèmes de synchronisation de pages et d’informations, des incohérences d’affichage entre les différentes pages du site. Cet incident interne est lié à une surcharge de consultation et de jeu dans la soirée de vendredi.« 

La FDJ assure ensuite que les applications seront réutilisables dans la journée du lundi 16 avril.

Enfin, des mesures ont été prises pour éviter de nouveaux incidents. « FDJ a multiplié ses tests de charge mais il faut bien dire que les systèmes de contrôle ont fonctionné, l’incident n’a pas touché l’intégrité des tirages et des jeux, il s’agit d’un problème de synchronisation d’affichage« . 

Rien en revanche sur la fuite de données personnelles et sur le nombre d’utilisateurs impactés… 

3 Trackbacks & Pingbacks

  1. Panne à la Française des jeux : le service rétabli aujourd'hui - Mes Actus
  2. Deuxième faille de sécurité à la FDJ : les données personnelles des employés fuitent ! - Décider et Entreprendre
  3. Deuxième faille de sécurité à la FDJ : les données personnelles des employés fuitent ! - Décider et Entreprendre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Lire les articles précédents :
Arnaque aux cryptomonnaies : un vol estimé à 660 millions de dollars au Vietnam

Il pourrait s'agir de la plus grosse arnaque à l'ICO de l'histoire. L'entreprise Modern Tech JSC a disparu avec l'entièreté...

Fermer