il y a 2 day
4
Les usagers concernés ont reçu vendredi un email capable de gâcher leur week-end. « Madame, Monsieur, nous souhaitons vous informer qu’un incident de sécurité a récemment affecté notre applicatif Synbird, dédié à la prise de rendez-vous en ligne pour vos démarches d’identité en lien avec votre mairie », explique l’entreprise du même nom. S’ensuit le verdict : « À la suite de cet événement, certaines données personnelles vous concernant ont été compromises. »
Les noms, prénom, code postal, adresse mail et numéros de téléphone - soit toutes les informations nécessaires à une prise de rendez-vous au service de l’Etat-civil d’une mairie - ont été aspirés. Selon nos informations, 1 300 communes sont touchées à différents degrés. Et, par ricochet, des dizaines de milliers de citoyens qui voulaient renouveler leurs documents d’identité.
Basé à Chambéry (Savoie), Synbird, spécialiste de la prise de rendez-vous administratifs, affiche sur son site une longue liste de villes clientes comme La Rochelle (Charente-Maritime), Martigues (Bouches-du-Rhône), Brest (Finistère) ou Roubaix (Nord). Mais aussi des communes franciliennes comme Issy-les-Moulineaux et Clichy La Garenne (Hauts-de-Seine). Leurs propres données ne se retrouvent pas pour autant dans la nature.
Les prises de rendez-vous d’octobre concernées
« La fuite concerne les clients qui utilisent notre module de rendez-vous et de réservations de salle. Elle est circonscrite aux rendez-vous pris de début à fin octobre », assure l’entreprise savoyarde contactée par Le Parisien. Synbird a remonté la trace de cette fuite de données à un poste d’employé municipal.
Comme souvent, les attaquants ont mis à profit des combinaisons d’e-mails et de mots de passe qui circulent déjà dans des bases de données volées. « Un mot de passe malheureusement utilisé sur d’autres plates-formes a été recyclé pour accéder à un compte d’une mairie cliente », détaille la PME.
« L’attaquant a ensuite exploité une faille de sécurité dans le logiciel pour exporter des données. Ce problème a depuis été réglé par nos développeurs », fait savoir Synbird qui a déclaré l’incident à la Cnil. Un dépôt de plainte à la gendarmerie est en cours.
Que faire si vous êtes concerné(e)
Pas une semaine ne passe sans une fuite de données d’une entreprise ou d’une administration comme France Travail ou Pajemploi. Si vous faites partie des victimes ou pensez l’être, pas besoin d’appeler votre mairie qui dispose d’un outil pour prévenir les usagers concernés : vous devriez avoir reçu une notification assortie d’une mise en garde.
Pas besoin non plus de changer un éventuel mot de passe : coordonnées bancaires ou mots de passe ne sont pas touchés par cette collecte illégale. Le premier réflexe à avoir est de se méfier des e-mails et SMS qui ne vous dirigent pas sur les sites et applications officiels. Il faudra apprendre à se comporter en ligne comme dans la rue ou à son domicile, en se méfiant des démarchages douteux.
English (US) ·