Un changement d'hébergeur ne devrait pas être synonyme de faille de sécurité et exposer les données personnelles de centaines de personnes. C'est pourtant ce qui frappé la région Ile-de-France, qui a découvert bien malgré elle l'existence d'une vulnérabilité exposant des données très sensibles comme des CV, des photocopies de passeport, cartes d'identité, constats, lettres de doléances, mises en demeure mais également des relevés d'identité bancaire et des bilans médicaux.

« On a eu un souci technique, on a changé d'hébergeur il y a très peu de temps, il y a un mois et demi », a expliqué à notre confrère Next Impact Bertrand Matge, responsable de la mission numérique pour la région Ile-de-France. C'est un lecteur de ce quotidien qui a fait remonter cette vulnérabilité, en précisant que le moteur de recherche du site de la région permettait, simplement en tapant PDF par exemple, de faire remonter en clair des dizaines de CV en page de résultats. « Normalement les fichiers sont supprimés toutes les 24h dès que les formulaires ont été transmis par email », a précisé Bertrand Matge. De plus, précise notre confrère, les documents devaient en théorie être stockés dans un espace privatif non accessible au site ou au moteur de recherche. Ce qui n'a pas été le cas.

La région beaucoup plus vigilante à l'avenir 

L'exposition de ces données personnelles a duré tout de même un mois et demi - soit depuis le changement d'hébergeur - avant d'être résolue quelques heures après le signalement de l'existence de la vulnérabilité, mercredi dernier. Une enquête a été lancée mais selon un premier bilan, entre 100 à 200 personnes seraient concernées par cette fuite de données. Etrangement, aucun outil de gestion statistique n'a été mis en place pour suivre les accès aux fichiers pour connaitre la nature et le nombre de documents téléchargés et par qui. « Mais on devrait pouvoir l'estimer », a indiqué Bertrand Matge à Next Impact. « On sera bien évidemment beaucoup plus vigilant à l'avenir » affirme le responsable en guise de conclusion.