Un trafic de données confidentielles fait scandale en Allemagne

par Marie de Vergès, Le Monde du 22 août 2008

Outre-Rhin, n’importe qui ou presque peut se procurer sur Internet, à moindre coût et en un tour de main, des renseignements personnels et financiers concernant des millions d’Allemands.

Les organisations de protection de consommateurs viennent d’en apporter la preuve formelle. Un de leurs agents, mandaté par la centrale fédérale, est parvenu à acheter sur le réseau près de six millions de données confidentielles, dont quatre millions de numéros de comptes bancaires.

L’opération lui a pris deux jours, pas plus. Elle ne lui a coûté que 850 euros. "Nous ne sommes sûrement pas le premier acheteur", en a déduit le président de la centrale, Gerd Billen, lundi 18 août.

Il ne s’agit pourtant encore seulement que de "la partie émergée de l’iceberg", estime Thilo Weichert, un commissaire chargé de la protection des données, dans le quotidien Süddeutsche Zeitung du 20 août. A l’ère du tout-Internet, "de dix à vingt millions de données bancaires" feraient l’objet d’une utilisation illégale, affirme-t-il.

La plupart de ces informations privées sont issues de fichiers établis par des loteries, mais aussi de contrats de téléphones portables ou de listings de donateurs pour des organisations caritatives. Quelque 1 300 opérateurs commerciaux en Allemagne seraient spécialisés dans la collecte et la vente de ces données, selon les informations du Chaos Computer Club (CCC), une organisation de hackeurs.

Améliorer la protection

C’est un employé d’un centre de démarchage téléphonique de Lübeck qui a fait éclater au grand jour l’ampleur de ce trafic.

La semaine dernière, Detlef Tiegel, âgé de 36 ans, a envoyé un CD à une organisation de défense des consommateurs. Sur ce disque que lui aurait remis son employeur figuraient quelque 17 000 données, entre autres des adresses et des numéros de comptes bancaires. Le centre d’appels se les était procurées illégalement, à des fins commerciales.

© Ho New / Reuters

Grâce aux données bancaires, il pouvait opérer à sa guise des prélèvements. L’affaire semble loin d’être un cas isolé et la justice a déjà ouvert plusieurs enquêtes contre des centrales téléphoniques.

Alarmé par les dimensions du scandale, le gouvernement allemand souhaite engager dès la rentrée un débat afin d’améliorer la protection des données, y compris en durcissant la loi.

Le député social-démocrate Dieter Wiefelspütz, porte-parole du SPD pour les questions de politique intérieure, a même préconisé que soit inscrit dans la loi fondamentale le droit à la protection des données sur Internet.

Marie de Vergès

Il faut rapprocher l’information précédente de la désinvolture manifestée par les pouvoirs publics face au problème de la confidentialité des données personnelles qu’ils exigent de leurs citoyens. En voici quelques exemples récents concernant l’Allemagne, l’Italie et la France...

Les données personnelles de 500 000 Allemands sur Internet

A la suite d’une erreur concernant le mot de passe, les données confidentielles – nom, adresse, photos d’identité et appartenance religieuse – de quelque 500 000 citoyens allemands ont été accessibles sur le Web du 15 mars au 20 juin 2008. L’entreprise HSH, chargée de la sécurisation de ces données informatiques, a reconnu le 23 juin 2008 qu’elle avait laissé affichés sur une page Internet le nom d’utilisateur et le mot de passe permettant à 425 communes d’accéder à ces données. Ces communes étaient censées modifier le mot de passe initial, mais une quinzaine ne l’ont jamais fait. [1]

_______________________

Les déclarations de revenus de 40 millions d’Italiens sur Internet

Le ministère des Finances italien a mis en ligne sur Internet, le 30 avril 2008, les 40 millions de déclarations de revenus des Italiens pour l’année 2005. Quelques heures plus tard, l’autorité de défense de la vie privée a fait fermer le site.

"Je n’ai fait que me conformer la loi" s’est défendu Vincenzo Visco, le vice-ministre des Finances, qui a souligné que la législation prévoyait depuis 1972 la possibilité pour le simple citoyen d’accéder à ces informations en se rendant dans les centres des impôts de l’Etat ou des communes.

"Cette initiative manque de toute base de référence" a décrété Francesco Pizetti, professeur de droit constitutionnel, président depuis 2005 de l’autorité italienne de protection des données, à l’origine de la fermeture du site.
"Il faut tenir compte du fait que ces données vont se retrouver en permanence et pour l’éternité accessibles de n’importe quel endroit du globe grâce aux moteurs de recherche", a-t-il déclaré. [2]

_______________________

Base élèves : les données étaient librement accessibles

Alors que l’administration de l’Education nationale répétait à l’envi depuis des mois que “Base élèves 1er degré” ne posait aucun problème de confidentialité des données, il a bien fallu que le ministre reconnaisse le 15 juin 2007 que le système n’était absolument pas sécurisé : pendant une quinzaine de jours, des personnes extérieures à l’Education nationale ont pu accéder librement par Internet aux fichiers de Base élèves et se procurer tous les renseignements concernant des élèves enregistrés (n° INE, date d’inscription et date d’admission à l’école, nationalité, date et lieu de naissance, adresse des parents, noms et adresses des responsables de l’enfant, niveau de la classe, nom de l’enseignant, taux d’absentéisme, cursus scolaire ...) [3]

_______________________

Le commissaire monnayait des informations provenant du Stic

Le commissaire de police Patrick Moigne, chef de la brigade des fraudes aux moyens de paiement de la police judiciaire de Paris (BFMP), a été mis en examen le 14 mars 2008 pour "violation du secret professionnel" et "corruption active et passive d’une personne dépositaire de l’autorité publique". De janvier 2006 à juin 2007, le commissaire aurait perçu plus de 20 000 euros en monnayant à des tiers des informations puisées dans des fichiers de la police, en particulier ceux du STIC .

Alex Türk, sénateur du Nord et président de la Commission nationale de l’informatique et des libertés (Cnil), dit ne pas avoir été "fondamentalement surpris" par cette affaire. "De nombreux fonctionnaires de police ont la possibilité de consulter le STIC, déclare M. Türk. Or, la vérification de leurs motivations, obligatoires, est aléatoire." [4]

_______________________

L’ancien commissaire des RG utilisait ses relations dans la police

Le 26 mai 2008, comparaissait au tribunal de grande instance de Paris, un ancien commissaire des renseignements généraux, A. P., accusé d’abus de bien sociaux et de "trafic d’influence". Révoqué de la police en 1988 pour corruption, il travaillait depuis lors comme gérant d’une "entreprise de conseil", utilisant ses relations dans la police et l’administration fiscale pour des clients. Parmi ses "contacts", figuraient trois policiers en service. Deux ont été mis en retraite anticipée, le troisième a été muté. A. P. était aussi un informateur rémunéré de la direction nationale d’enquêtes fiscales (DNEF), de 1998 à 2001. Aux enquêteurs, l’ancien commissaire prétexta des "échanges de bons procédés" : pour les "3 000 à 3 500 dossiers" qu’il a remis à la DNEF, il a perçu 46 000 euros plus 31 000 euros de remise de TVA. [5]

Mais, sans contestation possible, le pays leader dans ce domaine, celui qui nous montre ce que l’avenir nous réserve, reste la Grande-Bretagne !

Grande-Bretagne : des milliers de données concernant les détenus sur une clé USB égarée  [6]

La PA Consulting, une entreprise travaillant pour le ministère britannique de l’Intérieur (Home Office), a égaré une clé USB (memory stick) contenant des informations personnelles (nom, adresse, date de naissance, dans certains cas la date de sortie, ...) concernant des milliers de récidivistes et les 84 000 personnes détenues en Angleterre et au Pays de Galles.

Les données se trouvaient sur une clé USB.

Ceci est le dernier d’une série d’incidents imputables aux pouvoirs publics (vols de portables, pertes de disques durs ou de clés USB...). Un des plus récents est le vol dans un véhicule d’une clé USB contenant les données personnelles de centaines d’enfants qui avaient demandé à participer à une émission de télévision de la BBC.

David Smith, sous-commissaire de l’Information Commissioner’s Office (organisme britannique équivalent de la Cnil), a déclaré que la fréquence croissante et l’ampleur de ces incidents est un fait très préoccupant. « Quelles mesures avaient été mises en place pour protéger ces données ? [...] Nous espérons que le Home Office transmettra à l’Information Commissioner’s Office le rapport d’enquête interne. ». « Les données personnelles — y compris celles de détenus — doivent en permanence bénéficier de la sécurisation [prévue par la loi]. »

Il y a quelques jours une analyse portant sur la période avril 2007/avril 2008 concluait que plus de quatre millions de personnes seraient affectées par les pertes de données personnelles imputables aux pouvoirs publics [7].

Le PA consulting group, responsable de l’incident précédent, avait été retenu par le ministère britannique de l’Intérieur pour le conseiller sur son ambitieux projet de carte nationale d’identité, et sur l’élargissement de l’actuelle base de données ADN, qui est déjà la première au monde rapportée à la population [8].

_______________________

Le ministère britannique de la Justice est une passoire  [9]

[19 août 2008] - Neuf incidents pour plus de 45 000 données personnelles égarées : c’est le triste bilan 2007 du ministère de la Justice britannique en matière de protection de ses fichiers. Selon le rapport financier publié ce mois-ci par l’institution (pages 36 à 39), l’incident le plus important a eu lieu en juin 2007 avec la disparition de 27 000 fiches intégrant, outre le nom et l’adresse, des références bancaires. En cause, des systèmes de stockage mal protégés.

Selon le rapport, les données qui auraient transité par un prestataire externe, n’ont pas été dérobées… mais ont été montrées à un journaliste. Le gouvernement assure les avoir récupérées dans leur intégralité. Voilà les sujets de sa majesté rassurés !

Le plus grave réside dans le manque de réaction de l’administration. En janvier dernier, 14 000 éléments ont de nouveau été accessibles, cette fois concernant des données liées à des délits, certaines intégrant des informations de la sécurité sociale. Un ordinateur portable perdu et jugé a posteriori mal protégé est à l’origine de l’incident. Le ministère s’est engagé à mettre en place un programme spécifique de protection et d’information du public.

_______________________

Perte de deux disques contenant les données personnelles de 25 millions de Britanniques

Panique en Grande-Bretagne : le 20 novembre 2007, le gouvernement britannique reconnaissait la perte de deux disques contenant les données personnelles (identités, adresses, numéros de compte en banque, de sécurité sociale...) de 25 millions de personnes ; envoyés par courrier ils ne sont jamais arrivés à destination.

Cela concerne les 7 millions de familles bénéficiaires des allocations familiales. Exposées à la fraude bancaire elles sont priées de surveiller leurs comptes bancaires [10].