Cadremploi.fr donne accès à tous les profils des gens qui déposent leurs CV sur ce site...

Bien vu...

;)

Bon, revenons à nos moutons. Nous surfions donc sur Cadremploi.fr lorsque la page html se mit à nous faire de l'oeil. Surpris, votre Webmaster préféré se dit: "mais que me veut cette page?". Réponse de l'intéressée: "Tu n'as pas vu mes dessous affriolants... J'ai du Lotus Domino..." Terrain connu mais parfois bien configuré.

Votre Webmaster affûte son outil de guerre: son browser. Allez, petit navigateur, va chercher les données correspondant aux personnes qui ont déposé leurs CV sur le site Cadremploi.fr! Ben étonnement et hallucination de votre webmaster préféré, le site a tout renvoyé sans rien demander. Vous voulez la liste des login/mots de passe de tous les zozos qui ont fait confiance à Cadremploi.fr? Facile. Demandez au serveur et il vous renvoie tout.

A ce stade, votre serviteur se dit "tiens... C'est qui Cadremploi?" Réponse du serveur: "Aujourd'hui, Cadremploi publie les offres de plus de 400 cabinets de recrutement représentant la majorité de leur profession, de différents supports de presse nationaux et régionaux (annonces cadres du Figaro, du Monde, de CB News, du Progrès de Lyon, de l'Union de Reims, de Paris-Normandie,...), des agences de communication spécialisées en ressources humaines et des D.R.H. d'entreprises."

Intrigué, votre webmaster se demande quelle qualité de service est proposée: "CADREMPLOI est animé par une équipe de professionnels qui s'attache chaque jour à offrir aux cadres un service irréprochable."

Vous nous direz: "vous êtes des balaises, c'est facile pour vous, mais pas à la portée de tout le monde". Faux. Premièrement, nous ne sommes pas des techniciens. Encore moins des informaticiens. Deuxièmement, nous utilisons un bête browser pour faire nos trucs. Troisièmement, nous ne piratons pas les sites (pas d'utilisation d'identifiant et de mot de passe du compte administrateur ou ce genre de choses). Troisièmement, le "truc" utilisé pour accéder aux mots de passe des utilisateurs de Cadremploi.fr est trivial et en plus, il est documenté dans le manuel du bon utilisateur de Lotus Notes...

Il y a une loi qui impose aux entreprises de protéger correctement les données personnelles qui leurs sont confiées... Elles commencent quand à respecter ce texte?

Kitetoa vous propose au passage la lecture de cette loi:

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

(Journal Officiel du 7 janvier 1978 )

Article 29

   Toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

Implication de ce bidule

On pourrait arrêter notre papier ici, mais ce serait un peu court. Quelles sont les implications de cette histoire? Simple: lorsque l'on crée un profil sur Cadremploi, on peut y retourner à n'importe quel instant pour le modifier. Avec son login et son mot de passe. Bilan, si un vilain pirate se présente sur Cadremploi.fr et qu'il réalise le même gag que Kitetoa, il peut ensuite modifier subtilement les comptes des utilisateurs. Exemple: dans le champ "Précisez toutes informations complémentaires que vous souhaitez ajouter à votre C.V." de la personne à qui l'on veut du mal, on remplira: "J'ai quitté mes deux précédents jobs parce que les chefs étaient crypto-rigides et j'espère que vous êtes plus ouverts d'esprit". Effet garanti sur les cabinets de recrutement ou les entreprises qui lisent les CV...

Bon, c'est moins "visuel" que d'habitude, mais voici à quoi ressemble la liste des mots de passe des utilisateurs. Histoire que l'on ne vienne pas nous dire que l'on a jamais pu faire un truc comme ça...

Il va sans dire que Cadreploi.fr souligne que toutes vos coordonnées resteront confidentielles...

Kitetoa