La protection de données personnelles menacée au Sénégal (Bac 2020)

« Danger BAC 2020, Protection des données Personnelles des candidats »

La protection des données personnelles est un droit pour tout citoyen et une responsabilité de l'état.

Nous interpellons la CDP « Commission de Protection des données Personnels » sur les décisions de l’office du Bac pour une proclamation des résultats par SMS.

Comment à l’heure actuelle au Sénégal on peut utiliser une plateforme de Google pour recevoir les informations personnelles des candidats pour un examen aussi sérieux que le BAC ?

Comment la CDP peut laisser l’office du BAC utiliser « googleform » pour les donnes personnelles des candidats ?

Le pays manque-t-il des Informaticiens développeurs pour une plateforme digne de ce nom ? Où les candidats pourront mettre leur numéro de table et date de naissance et avoir leurs résultats directement ?

Et le plus pire ils n’ont même pas pris le temps d’analyser les risques. Avec le formulaire on voit que n’importe quelle personne peut remplir le document étant candidat ou pas.

Quelles sont les failles de ce système ? Comment on peut les attaquer pour changer ou supprimer des données ? On peut les rappeler dans ce cas l’attaque par SQL, les spécialistes en sécurités informatique le savent.

On appelle injection SQL une attaque contre un site web ou une application web où du code en langage SQL est ajouté à une zone d'entrée d'un formulaire web(Comme googleform que l’office du Bac utilise comme fichier Excel après pour les relier à leur base de données) afin d'obtenir l'accès à un compte ou de changer les données elles-mêmes.

Une requête SQL est une demande d'action à effectuer dans une base de données, le plus souvent dans une page web qui demande un nom d'utilisateur ou un mot de passe. Mais, la plupart des sites web ne surveillant pas les entrées autres que les noms d'utilisateur et les mots de passe, un pirate informatique peut utiliser les zones d'entrée pour envoyer ses propres requêtes, c'est-à-dire injecté du SQL dans la base de données. De cette manière, les pirates informatiques peuvent créer, lire, mettre à jour, altérer ou supprimer les données stockées dans la base de données principale, généralement pour accéder à des informations sensibles comme les numéros de téléphones des candidats, numéros tables, voire même changer de résultats des candidats.

La délibération par sms du BAC 2020 est un danger et un risque pour l’office du Bac et les candidats en particulier.

Souleymane Ngom,

Spécialiste en sécurité Informatique et Développeur web.

Dirpub : Abdallah Ndiaye

Source : Les élites sénégalaises