L’attaque de hacker sur le site web de Vox est peut-être la moindre des préoccupations actuelles de l’organisation politique ; les conséquences du manque de sécurité de votre site web et la façon dont vous avez réagi peuvent être dénonçables.

Attaque du pirate informatique contre Vox

Hier, La Nueve, une organisation associée à Anonymous, a revendiqué l’attaque du pirate informatique contre Vox ; le parti qui a joué dans les dernières élections andalouses est devenu la cible du groupe. Il y a encore beaucoup de détails que nous ignorons sur l’attaque, et qui font déjà l’objet d’une enquête de la Guardia Civil ; mais tout indique que La Nueve a eu accès au serveur du site Vox il y a quelques jours, et que c’était hier quand elle a décidé de le rendre public.

L’attaque de pirates informatiques a entraîné le vol de données de 30 000 utilisateurs du site Web de Vox. Il ne s’agit pas de données provenant de donneurs ou de membres de Vox, qui sont stockées dans une base de données différente. Les attaquants n’avaient accès qu’à la base de données des utilisateurs intéressés par Vox ; le site a une section dans laquelle nous pouvons entrer notre numéro de téléphone ou notre adresse e-mail, si nous voulons recevoir plus d’informations sur le match.

Le filtrage des données Vox peut se terminer en fin de compte

La réaction de Vox n’a pas tardé à venir, et bien qu’il ait confirmé l’attaque, il en a minimisé l’importance et assuré que l’affaire était entre les mains de la Guardia Civil. Cependant, cela pourrait ne pas suffire, et la réaction de Vox pourrait ne pas avoir été adéquate dans ce cas.

Lorsqu’une entité est victime d’un piratage informatique, il ne suffit pas de le signaler à la police ou à la Guardia Civil ; la loi l’oblige également à informer les utilisateurs concernés. L’avocat Carlos Sánchez Almeida le rappelle sur Twitter, où il a posté un extrait de la loi sur la protection des données.

En particulier, la loi considère comme une ” infraction grave ” le fait pour une entité de ne pas avoir signalé des ” incidents ayant des effets perturbateurs sur le service ” ; une attaque de pirate informatique qui réussit à voler des informations aux utilisateurs entrerait dans cette catégorie. Par conséquent, Vox est tenu d’informer tous les 30 000 utilisateurs dont les informations ont été volées sur son site Web. Si vous ne l’avez pas fait, vous pourriez être passible d’amendes allant de 100 001 à 500 000 euros pour infraction grave.

Vox en a-t-il fait assez pour protéger les données des utilisateurs ?

Ce ne serait que le début. L’Agence espagnole de protection des données pourrait ouvrir sa propre enquête sur la façon dont la partie concernée a traité les données de ses utilisateurs et, à son tour, imposer une amende à l’organisation si elle estime ne pas en avoir fait assez pour les protéger.

Il faut préciser que l’amende ne serait pas pour avoir été piraté, mais pour n’avoir pas mis en œuvre des mesures suffisantes pour éviter que cela ne se produise. Par exemple, si le serveur exécute un logiciel obsolète avec des bogues connus, ou si les mots de passe ne sont pas cryptés.

Selon les données partagées par les agresseurs eux-mêmes, il pourrait y avoir lieu de mener une enquête. La Nueve se vantait que Vox utilisait un serveur d’entreprise 1&1 avec un très mauvais pare-feu ; si la configuration du pare-feu était ce qui permettait aux pirates d’entrer dans le système, cela pouvait être compris comme l’échec de Vox.

Plus inquiétant encore, La Nueve affirme que les mots de passe stockés par Vox n’étaient pas cryptés. C’est le moins que tout propriétaire de site Web traitant des données d’utilisateur doit donner ; le chiffrement des mots de passe garantirait, à tout le moins, qu’il serait plus difficile pour les pirates informatiques de les obtenir.

Cependant, toujours selon les hackers, Vox a stocké certains mots de passe en texte clair, sans aucun cryptage. D’autres mots de passe étaient “hasheadas” dans MD5 ; cet algorithme génère une série de caractères basés sur une chaîne de texte, mais le contenu peut être facilement révélé. Par conséquent, si ces mots de passe avaient été confirmés, ils n’auraient pas été conservés en lieu sûr.

Le dirigeant de Vox était directeur de la protection des données

Ces lacunes apparentes dans la protection des données de Vox sont particulièrement frappantes lorsque l’on se souvient du passé du dirigeant de Vox, Santiago Abascal. En 2010, Abascal a été nommé directeur de l’Agence de protection des données de la Communauté de Madrid par Esperanza Aguirre.

Dans une telle position, Abascal connaîtra plusieurs des techniques et méthodes utilisées pour protéger les données des utilisateurs, ainsi que les conséquences pour les organisations qui ne les utilisent pas. Le passage d’Abascal à l’Agence a été controversé, surtout pour un salaire de plus de 90 000 euros ; à l’époque, plus que ce que le président du gouvernement, José Luis Rodríguez Zapatero, gagnait.

Il existe déjà un historique de partis politiques condamnés à des amendes pour avoir traité des données d’utilisateurs. En avril dernier, l’ANC et Òmnium ont été condamnés à une amende de 90 000 euros pour avoir une base de données d’utilisateurs aux Etats-Unis, bien que la base de données soit “inopérante”, selon ses propriétaires.

En savoir plus

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici