Je viens de passer sur le portail de la ville de Soignies.
Partout il existe des personnes ayant de bonnes idées et désirant offrir des services utiles.
L'histoire du portail Administratif de Soignies est certainement dans cette lignée... sauf qu'il y a un sérieux manque de bon sens/sécurité d'informations sensibles pour l'un des services proposés. Cela me fait franchement froid dans le dos.
Je me suis donc rendu sur la page suivante "Vie Administrative > Commande de Document"
Et n'étant pas inscrit, carte d'identité en main je m'apprête à encoder l'information demandée... quand je me rends compte qu'il y a un problème fondamental de sécurité informatique et sécurité de l'information (envoyée au portail et probablement stockée dans une DB).
La page incriminée se trouve ici
http://www.soignies.be/fr/vie-administrative/documents-en-ligne.html
Voici ce que j'ai vu:
Et voici le courrier "contact" envoyé dans les 5 minutes à l'administration communale de Soignies (en espérant qu'ils réagissent vite).
<<
concerne: Sécurité des comptes ouvert sur votre site/saisie d'information sensible.
Je comptais ouvrir un compte pour demander une copie des actes xxxxxxxxxx. Vous y demandez des informations sensibles (y compris No carte ID, No National, Date Naissance,etc).
Le site n'est pas en https donc espionnable et l'information est certainement stockée sur un système moyennement sécurisé (autant que l'https requis pour ces infos). En cas de piratage, toute l'information nécessaire a une usurpation d'identité est accessible.
Projet dangereux! A revoir!
>>
Message envoyé à Soignies.be ce 6/03/2013
Réponse: en attente
Soignies à beau être une commune, il me semble que la collecte de NNS
+ No Carte ID et autre information est soumis a une réglementation
sévère (et demande d'autorisation spéciale du SPF protection vie
privée).
J'imagine mal ce portail connecté directement sur la DB
de l'administration... il dispose donc de sa propre DB... peut-être même
en ligne chez un fournisseur de service.
Si ce formulaire déclenche l'envoi d'un message/mail, je me demande s'il est encrypté? ou passe par un réseau sécurisé?
Quand on vois que la saisie de l'information ultra-sensible d'identification du cytoyen est faite sur un simple http (non encrypté)... je crains le pire pour le traitement de la chaine d'information.
mercredi 6 mars 2013
Inscription à :
Publier les commentaires (Atom)
Aucun commentaire:
Enregistrer un commentaire