Française des Jeux : et de deux pour une faille majeure de sécurité sur les données personnelles | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
Economie
Française des Jeux : et de deux pour une faille majeure de sécurité sur les données personnelles
©

Les boules

Française des Jeux : et de deux pour une faille majeure de sécurité sur les données personnelles

Alors que la Française des Jeux a connu une faille de sécurité importante paralysant son système le week-end du 14/15 avril, la société en cours de privatisation aurait connu une deuxième fuite de données personnelles. Cette fois, c’est le personnel qui est concerné !

Adrien Pittore

Adrien Pittore

Adrien Pittore est journaliste, photographe et pigiste. Il a notamment participé au recueil « Les Photos qu’on peut voir qu’au niveau district – Tome 2 » publié le 17 novembre 2017 aux éditions Petit à Petit.

Voir la bio »

Jamais deux sans trois dit l’adage. Après l’énorme incident du week-end du 14/15 avril que la FDJ présentait comme « un bug d’affichage » mais qui ressemblait plutôt à une fuite de données personnelles des utilisateurs, Damien Bancal, journaliste spécialisé en cybersécurité, explique que la FDJ aurait connu une deuxième faille simultanée de données personnelles. Et cette fois, c’est directement le personnel qui aurait été touché

Nom, prénom, poste, mails professionnels, téléphone, CDI ou CDD…

Serait-ce la boite de Pandore qui se serait ouverte ? En tous cas, les affirmations de Damien Bancal, fondateur du site Zataz du nom du protocole qui permet d’identifier les cyber-failles de sécurité des sites web, font froid dans le dos. 

Un domaine de la société (projets-ssi-fdj.fr) s’ouvrait au regard des internautes. A la base, projets-ssi-fdj.fr demandait une authentification (login et mot de passe). Sauf qu’un sous domaine accolé à cette url permettait d’accéder aux données sans plus aucun sésame. Finis le login et le mot de passe. Bilan, [lesousdomaine].projets-ssi-fdj.fr offrait la possibilité de regarder du côté des 704 applications informatique de la FDJ, mais pas seulement !

Seulement, cette porte d’entrée menait à d’autres informations très sensibles, surtout à quelques semaines de l’application du RGPD. Ironiquement, le serveur destiné à responsabiliser le personnel de la FDJ était assez simplement accessible via l’adresse sensibilisation-ssi-fdj.fr.

N’importe qui pouvait alors avoir accès à toutes les données que possède l’entreprise sur son personnel, à savoir : nom, prénom, poste, identifiant du manager, adresses mails professionnelles, tokens d’authentification aux services, types du contrat (CDD, CDI, prestataires, stagiaires…), dates de début et de fin de contrat, numéros de téléphones professionnels et matricules.

Cerise sur la gâteau, Damien Bancal explique aussi avoir eu accès à un « shell » (un explorateur de fichier rendu à son plus simple appareil, aussi appelé interpréteur de commande) qui contenait l’intégralité des projets actuels et futurs de la FDJ, le tout répertorié dans un tableur Excel. 

Un espace qui contenait aussi le nom des projets, leur description ainsi qu’un document XLSX (doc) recensant des caractéristiques techniques sur la nature des projets tels que : version de serveur, type de connexion. etc. Bref, une mine d’informations pour quelqu’un ayant de mauvaises intentions.

Nous avons posé plusieurs questions à la FDJ. Nous sommes actuellement en attente de leurs répContactée par nos soins, la Françaises des jeux à souhaiter répondre à nos interrogations.

I"l s’agit de mini-sites hébergés chez des prestataires, sans lien avec le système informatique de prises de jeu FDJ.
Le sujet n’a rien à voir avec l’incident technique interne d’affichage qui a eu lieu ce week end sur les sites fdj.fr et Parions Sport en ligne.
Dans le cadre des analyses menées par FDJ depuis le début de l’incident et conformément à ses pratiques internes, FDJ a détecté une faiblesse relative sur ces mini-sites et les a immédiatement fermés.
Les informations présentes sur ces mini-sites externes n’ont aucun rapport avec les clients FDJ, il s’agit d’informations professionnelles d’entreprise de type « formation interne » et « annuaire professionnel ». Aucune information relative à la vie privée des collaborateurs n’apparait, il s’agit uniquement d’informations professionnelles.
Conformément à ses procédures, FDJ a lancé une enquête pour savoir pour quelles raisons ces faiblesses sont apparues.
La fermeture de ces deux mini-sites est conforme à l’esprit du RGPD qui entrera en vigueur en mai prochain"

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !