En bidouillant quelques adresses du site Cadremploi.fr, le site Kitetoa.com a mis à jour une liste d’identifiants et de mots de mots de passe des utilisateurs. La modification des profils était donc possible...
Quoi de plus attirant que de mettre en ligne son C.V., ses ambitions professionnelles si quelqu’un vous garantit que tout ça sera lu par des cabinets de recrutement ? Le seul problème c’est que visiblement, Cadremploi.fr laisse n’importe quel internaute, muni d’un navigateur et de quelques notions informatiques, rapatrier la liste des utilisateurs. Dans cette liste figurent les noms et les prénoms, la date de naissance, mais surtout, les identifiants et les mots de passe qui permettent de modifier les profils.
Une fois cette opération simple terminée, "un pirate pourrait aisément se faire passer pour une personne ayant créé un profil sur cadremploi.fr et modifier les données fournies", explique-t-on chez Kitetoa.com, e-zine spécialisé dans les failles de sécurité. Dans un article publié vendredi soir, les auteurs du site prennent l’exemple d’un pirate qui en voudrait à un utilisateur de Cadremploi.fr et qui inscrirait dans le champs "Précisez toutes informations complémentaires que vous souhaitez ajouter à votre C.V." un texte du genre : "J’ai quitté mes deux précédents jobs parce que les chefs étaient crypto-rigides et j’espère que vous êtes plus ouverts d’esprit." Il est probable que ce type de profession de foi n’attirerait pas les cabinets de recrutement.
Confidentialité et protection des données
Il est étonnant de constater avec quelle simplicité les identifiants et mots de passe peuvent être récupérés au travers d’un simple navigateur. Pourtant, comme le signalent les auteurs de Kitetoa.com, la loi de 1978 relative à l’informatique, aux fichiers et aux libertés prévoit que les entreprises doivent "prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés". Un rêve sans doute. Vendredi soir, le responsable technique de Cadremploi.fr constatait le problème et allait prévenir "l’administration". Selon lui, tout serait réglé "dans les minutes" qui suivaient. Samedi, les responsables du site n’avaient effectué que quelques réparations de fortune. La liste des mots de passe était moins facilement accessible mais rien de bien solide...