CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET
« pappy » a des pudeurs de jeunes filles. Fin mai, il s’étonnait, sur Twitter, de découvrir que Google avait répertorié 1150 fichiers .pdf à « ne pas diffuser » sur les sites en .gouv.fr, et invitait l’ANSSI (l’agence en charge de la cyberdéfense) et TadaWeb (une plateforme de veille qui permet d’automatiser, très facilement, l’extraction et le filtrage de documents disponibles en ligne, voir ljourne mode d’emploi) à creuser le filon :
filetype:pdf inurl:gouv.fr "ne pas diffuser" Google: http://t.co/BzdGrtC46e (1150 results) poke #ANSSI cc @TaDaweb
— pappy (@fredraynal) 26 Mai 2014
Ne cherchant pas particulièrement à voir son identité mentionnée dans Le Canard Enchaîné -qui a publié, début août, un article à ce sujet-, « pappy » y est pudiquement décrit comme « un internaute facétieux« . Co-fondateur du SSTIC et de MISC, le symposium et le magazine de référence, en France, en la matière (je vous conseille ses éditos truffés de calembours et de bons mots), Frédéric Raynal — son vrai nom –, est aussi et surtout un vieux briscard de la sécurité informatique, ex-responsable R&D en sécurité informatique chez EADS puis Sogeti, passé par l’École de Guerre Economique, avant de créer QuarksLab, une entreprise de sécurité informatique défensive « et » offensive, choisie pour auditer la sécurité de Chatsecure, la messagerie instantanée sécurisée d’IOS.
Sur le millier de documents qu’il a pointé du doigt, aucun ne révèle de secret d’État. Il n’empêche : plusieurs dizaines d’entre eux n’auraient jamais du se retrouver, ainsi, « à poil sur le web« , et quelques-uns ont d’ailleurs été prestement retirés du www suite à l’intervention de votre serviteur. Petit tour d’horizon.
« Document de travail à usage interne, ne pas diffuser »
En 2007, l’Agence française de sécurité sanitaire des aliments consacrait un rapport à la « Place des lipides dans l’alimentation » recommandant de « réduire de 30% au moins la consommation de certains aliments contributeurs d’acides gras trans (viennoiseries, pâtisseries, produits de panification industriels, barres chocolatées, biscuits) de faible intérêt nutritionnel« . Signe du caractère sensible de ce dossier, chacune des 51 pages de ce rapport était estampillée, en rouge, « Document de travail, ne pas diffuser« , et tamponnée d’un énorme « Document à usage interne« .
Il n’en est pas moins librement téléchargeable sur le site web du ministère de la santé, tout comme un questionnaire sur les personnes en situation de handicap âgées de 40 ans et plus, une grille d’évaluation interne des établissements d’hébergement pour personnes âgées dépendantes (EHPAD), ou encore un rapport du groupe de travail du Conseil supérieur d’hygiène publique de France sur le « Risque de contamination horizontale au sein de collectivité d’enfants en cas de présence d’un porteur du virus de l’hépatite B (VHB) et opportunité de vacciner la population contact« , eux aussi estampillés « Document de travail, ne pas diffuser« .
Le ministère de la Santé n’est pas le seul à baver de la sorte. Il suffit en effet de chercher « ne pas diffuser » site:gouv.fr filetype:pdf dans Google pour faire remonter des centaines de fichiers .pdf, disponibles sur les sites web de l’administration française.
On trouve ainsi, sur le site web du ministère de l’économie, une « Version provisoire, ne pas citer, ne pas diffuser » d’une étude sur « les véritables moteurs de la croissance » en Chine, un rapport de la DATAR sur les systèmes urbains de proximité truffé de « cartes de travail non définitives à ne pas diffuser« , une « Enquête sur les pratiques de jeux d’argent et de hasard en ligne » siglée, en rouge et en exergue de chacune de ses 23 pages : « CONFIDENTIEL Ne pas diffuser« , ou encore des communiqués de presse de Pierre Moscovici sur la cession par l’Etat de titres Safran, EADS et Airbus estampillés, en lettres majuscules, en italique et en gras : « NE PAS DIFFUSER NI DISTRIBUER NI PUBLIER AUX ETATS-UNIS, AU JAPON, EN AUSTRALIE OU AU CANADA » (sic – MaJ : en commentaire, un « spécialiste de la finance » précise que cette expression « se retrouve dans la quasi-totalité des documents de bourse publiés en France car non enregistrés ou non conformes aux lois de ces pays »).
Pas bégueule, le site de l’Observatoire des Territoires de la Savoie propose un document encore plus curieux, puisqu’on y trouve une carte du périmètre de protection des captages d’alimentation en eau potable de la forêt de la Caisse des écoles présentée, en vert, comme un « document destiné à la consultation du public« , mais qui n’en précise pas moins, en rouge, qu’il s’agit là de « Données sensibles, ne pas diffuser« …
Google a également répertorié un « Document à usage interne » sur la « Surveillance des maladies à caractère professionnel » en Auvergne, un « Etat des lieux de la pauvreté en Poitou-Charentes » mentionnant, en haut de ses 114 pages, « Document de travail » et, en bas, « Ne pas diffuser« , un « Document confidentiel » de la CFTC sur la Responsabilité sociale des entreprises (RSE) (qualifiée d' »enjeu primordial parce qu’à l’instar des théories de Karl Polanyi et de Mark Granovetter, nous considérons que l’entreprise est encastrée dans la société« ), une « NOTE SUCCINTE A USAGE INTERNE » sur l’option pelote basque du Brevet d’Etat d’éducateur sportif, ainsi qu’une vingtaine de rapports de commissaires aux comptes estampillés « DOSSIER CONFIDENTIEL« , « NE PAS DIFFUSER » ou « [A usage interne] » sur le site web du Journal Officiel… (MaJ : en commentaire, un responsable de la DILA -en charge de la publication du JO, notamment-, précise qu’il « ne fait qu’assurer son obligation de publier les comptes des associations dans l’état où ils sont transmis et sans retirer aucune mention »).
Plus exotiques, mais néanmoins estampillés « CONFIDENTIEL« , citons aussi une liste des canalisations en Franche-Comté, l’organigramme des services du Conseil Général du Cantal, le cahier des charges du label rouge des « Betteraves rouges cuites sous vide« , un avis de traitement obligatoire de la mouche du brou en Rhône-Alpes, ainsi que la présentation de projets de serres en verre photovoltaïque dont les pages n’en sont pas moins surmontées d’un « CONFIDENTIEL — MERCI DE BIEN VOULOIR NE PAS DIFFUSER SUR INTERNET« … mais dont on se demande bien pourquoi ils sont présentés comme « CONFIDENTIEL« .
Contacté, le créateur du « Plateau Ratatouille » n’a pas réagi, contrairement à l’Agence nationale de traitement automatisé des infractions (ANTAI) -dont le patron avait démissionné en octobre 2013 après que Mediapart ait révélé qu’il se faisait rembourser ses PV-, et qui a fait retirer du site web de la préfecture du Vaucluse, après en avoir été informé (mais sans lui adresser de PV), la « Présentation aux collectivités territoriales » du procès-verbal électronique (PVE), tamponnée « Document strictement confidentiel, réalisé à l’usage exclusif de l’ANTAI« .
« Diffusion restreinte aux seuls destinataires »
En France, la mention « Diffusion Restreinte » (DR) n’est pas à proprement parler un « niveau de classification » (type « Secret Défense« ), mais une « mention de protection » dont l’objectif principal est de « sensibiliser l’utilisateur à la nécessaire discrétion dont il doit faire preuve dans la manipulation des informations couvertes par cette mention« .
L’arrêté du 30 novembre 2011 « portant approbation de l’instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale » précise ainsi qu’une information classifiée DR « ne doit pas être rendue publique et ne doit être communiquée qu’aux personnes ayant besoin de la connaître dans l’exercice de leurs attributions« , mais également que l’auteur d’une éventuelle divulgation « s’expose à des sanctions disciplinaires ou professionnelles« .
Google n’en a pas moins répertorié -et archivé- une trentaine de documents estampillés « Diffusion restreinte« , dont la liste des correspondants « canicule » de la préfecture de Haute-Savoie -y compris les n° de téléphones mobiles de la directrice de la Direction Départementale de la Protection des Populations, et de son adjoint-, la description technique d’un logiciel de sécurité informatique développé pour l’Agence nationale des titres sécurisés (ANTS), deux anciens « formulaires d’acceptation d’un rôle de confiance » destinés aux employés du ministère de la Justice chargés de la délivrance des cartes et certificats d’authentification et de signature électronique, ou encore le Plan départemental de prévention de la délinquance du Val de Marne de 2007 -« PDPD » (sic) qui dresse la liste des quartiers à « forte délinquance endogène« .
La palme revient cela dit au Conseil général des Yvelines, qui avait partagé sur son site web une bonne dizaine d’annexes « à diffusion restreinte » de délibérations comportant les noms, prénoms et domiciliations d’Yvelinois à qui il avait attribué des bourses (avec leur montant), mais également de personnes endettées à qui il avait consenti une remise grâcieuse de dettes… ou pas.
Où l’on découvre qu’une bonne partie des personnes « endettées » à qui le Conseil général des Yvelines a réclamé un « trop-perçu » sont en fait les héritiers de personnes âgées décédées, qui n’en ont pas moins continué à percevoir quelques centaines d’euros d’allocations le temps que l’administration s’aperçoivent qu’elles étaient mortes, et enterrées…
Contacté, le cabinet de Pierre Bédier -qui a récupéré la présidence du Conseil général des Yvelines en avril dernier, à l’issue de sa condamnation à six ans d’inéligibilité, dans une affaire de corruption- reconnaît avoir fait «
Une telle divulgation de données personnelles, « commise par imprudence ou négligence« , est passible de trois ans d’emprisonnement et de 100 000 € d’amende.
La liste des autres documents « DR » répertoriés par Google :
- un rapport de la Commission sur l’avenir de l’enseignement français à l’étranger,
- un rapport sur l’ingénierie du réseau radio de la Sarthe,
- une présentation sur les Taux de Dommages aux Ouvrages ERDF,
- un rapport de l’Observatoire National de la Consommation des Espaces Agricoles en Nord Picardie,
- une méthodologie pour l’identification des friches d’activité dans le Nord Pas de Calais
- une étude sur la caractérisation des filières de la croissance Verte à la Réunion,
- un rapport sur les intercommunalités franciliennes,
- une enquête sur la mise en oeuvre des principes de la loi d’orientation pour la ville (LOV),
- une « note d‘organisation interne pour la mise en œuvre de la démarche qualité police de l’eau à la DDT de l’Oise« ,
- une demande d’autorisation d’exploitation d’une usine de compostage à Bellegarde,
- une étude hygrothermique de l’influence de plusieurs paramètres dans des parois à ossature bois,
- un questionnaire lié à l’évaluation du « Portefeuille d’Expériences et de Compétences » du Ministère des Sports, de la Jeunesse, de l’Education populaire et de la Vie associative,
- et un rapport d’analyse du Commissariat à l’Energie Atomique (CEA) portant sur l’analyse de 5 échantillons d’oxyde d’uranium effectués par Areva sur le site de Pierrelatte. Renseignement pris, ce dernier avait été mis en ligne après avis pris par la Commission d’accès aux documents administratifs (CADA), saisie par l’association Sources et rivières du Limousin, qui dénonce le stockage d’uranium appauvri par Areva.
Voir aussi :
Plus de fichiers = plus de fuites
« Les écoutes made in France », ma 1ère BD
La NSA n’espionne pas tant la France que ça
Internet & données personnelles: tous fichés ?
Pour la CNIL, 18% des Français sont « suspects »