Près de 400 personnes ayant demandé un rendez-vous à la mairie de La Rochelle en octobre ont vu leurs données personnelles exposées sur le web. Une faille dans un logiciel utilisé serait à l’origine de l’incident.
Que s’est-il passé chez Synbird, un logiciel qui permet de prendre rendez-vous en ligne pour les démarches d’identité ? Le 24 octobre, une personne externe à l’entreprise a réussi à se connecter au compte Synbird d’un agent d’une mairie utilisant l’application pour la prise de rendez-vous. Après plusieurs tests, l’individu a découvert une faille dans le système permettant d’exporter en PDF les rendez-vous pris sur le logiciel. L’incident a été identifié et maîtrisé trois jours plus tard par l’entreprise.
Au total, près de 1 300 communes ont été concernées par cette fuite de données. Parmi elles : Brest, Martigues, mais aussi La Rochelle, qui utilisait Synbird via un portail en ligne hébergé par l’éditeur pour les prises de rendez-vous auprès de l’état civil et du guichet France Services.
Les données bancaire et mots de passe préservée
Synbird a alerté les autorités et envoyé un mail aux personnes concernées par cette fuite de données, qui aurait touché les rendez-vous pris entre le début et la fin du mois d’octobre. Contactée, la mairie de La Rochelle confirme que 394 usagers sont concernés. Les données exposées incluent les numéros de téléphone, adresses mail, noms, prénoms et informations liées aux rendez-vous. Aucun mot de passe ni donnée bancaire n’a, a priori, été compromis.
La ville a alors réagi et prévenu les personnes concernées via un SMS ou un mail à la mi-novembre, notamment pour les alerter sur d’éventuelles tentatives d’hameçonnage ciblées. Elle a également indiqué avoir notifié la CNIL (Commission nationale de l’informatique et des libertés) de la violation de données personnelles et déposé une plainte contre X suite à cet incident.