Forum général.général Quel site utiliser pour signaler une adresse email fuitée ?

12
1
oct.
2024

Bonjour,

J'ai reçu hier, un email d'un établissement scolaire, me demandant de vérifier et de mettre à jour les information sur ma fille.

Le problème, c'est que l'email a été envoyé à plus de cinq cents destinataires, en copie carbone, avec MS Outlook.

J'ai écrit au lycée, en répondant à l'expéditeur, pour essayer de limiter les dégâts et éviter que cela se reproduise. Je ne suis pas certain que je recevrai de réponse, c'est le silence radio pour le moment.

Je n'ai pas demandé grand-chose, qu'ils envoient un email à tout le monde, en BCC, demandant de ne pas répondre et de supprimer l'email. Si cela vous semble farfelu, sachez que certains ont commencé à répondre de la même manière, en partageant avec autant cinq-cent inconnus les informations de leurs enfants.

Quel est le site que je dois contacter, pour faire remonter l'information ? Avez-vous déjà été confrontés au même souci ? Ce qui me gêne, c'est que ce soit un établissement public et la quantité de destinataires.

Si je regarde la CNIL, je ne vois pas de formulaire simple pour faire remonter l'information.

P.S. : Je ne me sens aucune légitimité à contacter les cinq-cent destinataires, autant d'un point de vue moral que légal.

  • # Efficacité et problème racine

    Posté par  . Évalué à 7 (+6/-0).

    Bonjour,

    500 adresses email et x données personnelles sont déjà dans la nature, notamment chez gafam et consorts, je crois que c'est perdu de toute facon.

    Faites un courriel au directeur du lycée pour lui indiquer que dans son budget formation, il devrait prévoir l'usage d'un logiciel email et ses bonnes pratiques. Le posteur initial ne connait probablement meme pas la différence entre CC et BCC.

  • # ça dépend

    Posté par  (site web personnel) . Évalué à 4 (+2/-0).

    Selon le pays concerné, je passerais par l'Autorité de protection des données, le Préposé fédéral à la protection des données et à la transparence ou l'Information Commissioner's Office. Ils ont tous un formulaire adéquat. Pour les autres pays, je sais pas.

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # CNIL

    Posté par  . Évalué à 2 (+2/-1).

  • # Ça arrive...

    Posté par  . Évalué à 8 (+6/-0).

    C'est peut-être un peu overkill de saisir la CNIL à chaque fois que quelqu'un fait du Cc au lieu du Bcc.

    Si je comprends bien, c'est juste les adresses électroniques qui sont partagées (éventuellement attachées aux noms des parents), donc pas des données sensibles. C'est au pire spamogène, mais c'est pas la pire divulgation.

    Quand l'instit fait ça à l'échelle de la classe, ça me fait un peu bizarre, mais je suis content le jour où je cherche les adresses des parents d'élèves.

    Je me contenterais de faire un message gentil en essayant d'être pédagogique et pas trop condescendant pour expliquer à l'envoyeur la différence. S'il y a une page qui explique ça sur un site un peu administratif ou lié à l'éducation nationale pour faire "officiel", c'est encore mieux.

    • [^] # Re: Ça arrive...

      Posté par  (site web personnel) . Évalué à 6 (+4/-0).

      Le truc c'est que si t'es le pénible à envoyer ton message gentil, le contrevenant va juste t'ignorer. S'il reçoit la même chose de l'autorité nationale de protection des données (qui ne va vraisemblablement pas faire plus), ça va peut-être le faire réfléchir un poil.

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Réagir de manière graduée

    Posté par  . Évalué à 5 (+4/-0).

    Bonjour,
    ce genre de divulgation est hélas trop fréquent, le plus souvent par ignorance et habitude indéracinables.
    Je le subis via les associations, les collectivités publiques, les entreprises, la famille…

    Réaction "gentille" : s'adresser au chef d'établissment pour lui faire comprendre qu'un[e] de ses agents a divulgué des données personnelles. Il doit prendre conscience qu'il lui incombe de former/faire former son personnel administratif aux bonnes méthodes.

    Réaction "méchante" : prévenir parallèlement le rectorat.

    Réaction "très méchante" : chercher le texte qui va bien et sur cette base porter plainte pour divulgation indue de données personnelles.

    • [^] # Re: Réagir de manière graduée

      Posté par  . Évalué à 1 (+0/-0).

      et une reaction neutre : montrer comment utiliser les mails avec caramail, outlook de manière responsable

      et bon courage !

      • [^] # Re: Réagir de manière graduée

        Posté par  . Évalué à 2 (+1/-0).

        et une reaction neutre : montrer comment utiliser les mails avec caramail, outlook de manière responsable

        il ne lira pas le mail (en tout cas pas jusqu'au bout), et cet échange se limitera à un "vu" et surtout pas de pédagogie : monsieur le directeur n'a pas le temps "pour ces conneries" ;)

    • [^] # Re: Réagir de manière graduée

      Posté par  . Évalué à 6 (+3/-0).

      Réaction "méchante" : prévenir parallèlement le rectorat.

      Ce qui te donne une probabilité non-nulle de recevoir un mail "nous feront tout ce qui est en notre pouvoir pour nous assurer que ça n'arrive plus" avec en CC les adresses email de tous ceux qui se seraient plaint de la même chose, histoire de fonder une association quand vous vous rendrez compte que votre plainte est passée direct à la corbeille :-)

  • # Rien à faire

    Posté par  . Évalué à 4 (+1/-0).

    Avez-vous déjà été confrontés au même souci ?

    Trois fois par semaine à peu près?

    Tu es sur un problème de netiquette, la plupart des gens ignorent que de telles règles implicites existent, et n'en voient pas forcément l'utilité.

    Au passage, l'ergonomie de la plupart des lecteurs de mail /webmails fait qu'il est tout à fait possible de faire une telle erreur involontairement, voire ignorer complètement la possibilité d'envoyer en BCC (qui s'appelle parfois CCi). La configuration du Répondre à tous/Répondre à la liste/Répondre à l'envoyeur est souvent fantaisiste et incohérente, et ça n'est pas du tout étonnant que certains répondent à tous.

    Tu es simplement face à un problème de formation. Il te semble évident que dans une telle situation il faut créer une mailing list avec des droits restreints (pour que les destinataires ne puissent pas répondre sur la liste). Mais la personne qui a dû envoyer ce mail n'a probablement aucune idée de ce qu'est une mailing list, comment on peut la configurer, pourquoi il ne faut pas envoyer un mail à 500 destinataires d'un coup, et si tu essayes de lui expliquer elle ne comprendra probablement pas plus le problème. Il est même possible que ça soit déja pas mal que cette personne sache envoyer un mail, soit parce qu'elle est trop âgée pour être à l'aise avec un ordinateur, soit parce qu'elle est trop jeune.

    Si je regarde la CNIL, je ne vois pas de formulaire simple pour faire remonter l'information.

    Je pense que la CNIL a des choses plus intéressantes à faire que d'envoyer des plaintes un peu fantaisistes dans leur boîte à spam… :-S

    Ce qui me gêne, c'est que ce soit un établissement public

    Je ne sais même pas interpréter ta remarque, tu penses que les établissements publics ont une sorte de procédure normalisée pour l'envoi de mails, ou un budget pour former les agents à une netiquette dont les responsables desdits établissements n'ont pas conscience de l'existence?

    Par exemple, je dis ça comme ça, mais la plus grande université de France a fait sa rentrée de septembre avec une adresse officielle en outlook.com, et ses départements scientifiques en gmail.com. Ça donne une idée du boulot…

    • [^] # Re: Rien à faire

      Posté par  (site web personnel) . Évalué à 4 (+2/-0).

      ça n'est pas du tout étonnant que certains répondent à tous.

      il me semble qu'au moins Thunderbird et Evolution te préviennent quand tu as une trop longue liste de mails en destinataire ou copie, bon tu peux passer outre ;-)

    • [^] # Re: Rien à faire

      Posté par  . Évalué à 2 (+1/-0).

      Par exemple, je dis ça comme ça, mais la plus grande université de France a fait sa rentrée de septembre avec une adresse officielle en outlook.com, et ses départements scientifiques en gmail.com. Ça donne une idée du boulot…

      je voudrais bien voir la source ;)

      • [^] # Re: Rien à faire

        Posté par  . Évalué à 3 (+0/-0).

        Les pages officielles ont disparu après la remise en route du serveur mail, mais il reste des articles de journaux, par exemple https://next.ink/147248/cyberattaque-contre-luniversite-paris-saclay-les-serveurs-emails-intranet-et-dinscription-touches/:

        "Concernant la messagerie électronique, des chercheuses et chercheurs ont indiqué leur désarroi sur X/Twitter. […] Elle ajoute qu' « à défaut, des adresses email ad hoc peuvent être créées (Gmail…), de même que la création de groupes par le biais d’applications sécurisées (WhatsApp, Signal…) ».

        L'université indique qu'elle « se fixe comme objectif un rétablissement des adresses email @universite-paris-saclay pour la fin du mois d’août ». Elle explique aussi avoir fait le choix temporaire « de basculer sur une messagerie électronique Outlook (Microsoft) afin de gagner du temps, le rétablissement d’une messagerie Zimbra étant beaucoup plus long ». La FAQ mentionne d'ailleurs deux adresses en @outlook.com pour répondre aux questions des étudiants.

        Ce choix, compréhensible pour la rapidité qu'il permet, reste assez ironique dans un contexte où les universités françaises insistent régulièrement auprès de leurs équipes pour qu'elles n'utilisent pas les services des GAFAM pour des raisons de sécurité."

  • # Bientôt un électrochoc pour la prise de conscience?

    Posté par  . Évalué à 1 (+0/-0).

    Malheureusement, c'est tellement représentatif du jemenfoutisme de ce sujet dans les habitudes des gens.

    très souvent, ils ignorent "mais c'est pas grave", alors que si : c'est grave.

    Grave à la fois dans la divulgation d'adresses personnelles (secret des correspondances)
    grave également dans le manquement de discipline à l'utilisation de l'outil (conduire sans freins..), et le gros manque de formation/importance de ce sujet dans la gestion des mails.

    Donc oui, je comprends : j'en reçois chaque mois aussi, parfois avec des centaines de destinataires, dont quelques "brebis égarées" ne voient aucun inconvénient à partir sur un "répondre à tous", parfois en transmettant des données privées à tous les destinataires..

    Et oui, j'admets, mon péché caché, j'y réfléchis :
    -soit envoyer une soufflante, comme un ancien collègue il y a des années l'avait fait, dans un mail interne d'entreprise
    -soit commencer un name&shame, un peu comme pour les annonces d'emploi type pigeongratuit, en cachant toutes les adresses destinataires (mais en gardant l'indication du total d'adresses), mais en laissant en évidence le début de l'adresse expéditrice, pour que la personne ayant cliqué sur "envoyer" puisse un jour comprendre son absence de rigueur dans l'usage de cet outil.

    Dans un sens, je trouve que comme le name&shame adopté vis à vis des influenceurs par la dgccrf, certains comportements du numérique qui devraient être derrière nous, ne vont pas échapper pendant longtemps à un petit "tumblr" ou autre publication de leurs bourdes en place publique.

  • # Comprends pas

    Posté par  . Évalué à 6 (+4/-0).

    Il me semble que les établissements scolaires ont des procédures pour contacter les parents qui passent par une plateforme officielle. Comment se fait-il qu'un agent public court-circuite le système pour contacter 500 parents en direct ? En recevant un tel courriel, il me semble que ma première réaction serait de penser à du hameçonnage et non à un courriel maladroit d'un(e) inconséquent(e).

    Autre question : pourquoi un tel courriel avec 500 destinataires n'a-t-il pas été bloqué comme spam ? Si moi je fais ça, je me fais jeter par mon FAI comme spammeur.

    • [^] # Re: Comprends pas

      Posté par  . Évalué à 2 (+1/-0).

      Lol.

      C'est loin d'être le cas de la majorité des établissements scolaires.
      C'est assez rarement le cas dans le public hors éducation nationale.

      Le mail reste roi par sa praticité, et sa compatibilité avec presque tout le monde.

      parce que l'établissement est derrière un hébergeur qui comprends le caractère pro ou institution dans la gestion des mails, et permet de ce faire.

      c'est pas que dans l'educ'nat, mais aussi dans le recrutement, les univrsités, els entreprises.
      déjà vu récemment plus de 500 personnes en CC dans un mail d'entreprise, dont plus d'1/3 des destinataires étaient sur leur adresse perso.. et aucun rejet de spam car système mail via presta spécifique aux courriels massifs.

    • [^] # Re: Comprends pas

      Posté par  (site web personnel) . Évalué à 2 (+0/-0).

      Effectivement, c'est incompréhensible pour moi également.

      Ici, une personne a envoyé un email à cinq-cent personnes, pour leur demander de mettre à jour leurs informations sur le système EDUCONNECT.
      Donc, ce n'était pas de l'hameçonnage.

      La deuxième choc, c'est quand j'ai vu le nombre de récipients. Je peux comprendre une mauvaise manipulation sur une dizaine, voire une trentaine de récipients, mais là, cinq-cents ? WTF ?

      Surtout que dans les entêtes, le champ "UserAgent" donne Microsoft Outlook 16, donc, quelqu'un a vraiment utilisé un client e-mail pour envoyer ça ? J'aurais été moins choqué de voir un logiciel de liste de diffusion, ou autre, je me serais dit qu'il y avait juste un bug, mais là, j'ai du mal à même imaginer la scène.

      Effectivement, Thunderbird propose assez rapidement d'utiliser BCC au-dessus d'un certain nombre. Apparemment, c'est trop demander à Outlook.

      • [^] # Re: Comprends pas

        Posté par  (site web personnel) . Évalué à 3 (+1/-0).

        Le deuxième choc, c'est quand j'ai vu le nombre de récipients. Je peux comprendre une mauvaise manipulation sur une dizaine, voire une trentaine de récipients, mais là, cinq-cents ? WTF ?

        il a dû beaucoup pleuvoir : les récipients permettent de recueillir la pluie, à défaut de colmater la fuite (il faudrait prévenir les destinataires d'ailleurs :p)

        ah bah tiens recipient est un nom commun pouvant désigner une personne — mais en anglais o_O je connaissais récipiendaire, j'aurai appris quelque chose de plus aujourd'hui _o/ :p

      • [^] # Re: Comprends pas

        Posté par  . Évalué à 1 (+0/-0).

        La deuxième choc, c'est quand j'ai vu le nombre de récipients. Je peux comprendre une mauvaise manipulation sur une dizaine, voire une trentaine de récipients, mais là, cinq-cents ? WTF ?

        Prévoyez l'AVC : les "500" sont un premier essai, quand lors de ses essais suivants, ce sera un ou plusieurs milliers, en "jmenfoutisme complet" vu qu'il aime pas le mail et qu'il encouragera vivement tous ses contacts à communiquer sur gmail, facebook et whatsapp avec vérification que l'appli mobile a bien été installée, et que les réticents se verront épinglés par mail public à toute la liste pour leur faire comprendre qu'il n'ont pas obéi à l'ordre que l'établissement leur donne : aller sur whapp.

        Remplacez whapp par n'importe quelle autre messagerie fermée, propriétaire et marketing qui ferait tendance sur son dernier iphone.

  • # ok

    Posté par  (site web personnel) . Évalué à 4 (+2/-0).

    Je pense que ta réaction est correcte et suffisante: tu as expliqué le problème aux personnes concernées, tu ne peux pas faire beaucoup mieux. En soi la divulgation d'une adresse e-mail n'est pas très grave (c'est chiant pour le spam), par contre ça me parait important que l'école prévienne les parents pour éviter qu'ils divulguent des informations privées à d'autres parents par inadvertance.

    Le cas est compliqué car l'école ne divulgue pas elle-même d'information personnelles mais pousse les parents à le faire. Je pense que je ferai un signalement à la CNIL uniquement dans le cas où l'établissement ne réagit pas et pour avoir leur avis sur la question.

    Un LUG en Lorraine : https://enunclic-cappel.fr

    • [^] # Re: ok

      Posté par  . Évalué à 2 (+1/-0). Dernière modification le 03 octobre 2024 à 17:29.

      la divulgation d'une adresse e-mail n'est pas très grave (c'est chiant pour le spam)

      Cela divulgue les patronymes des parents et permet ainsi de savoir qui est le papa/maman du petit Timothée qui emmerde toute la classe, et l'attendre à la sortie de son bureau (si le mome rendre en bus) (après avoir vérifié son linkedin) pour lui faire part de ses remontrances vis à vis du comportement de son mioche.

      Pas comme si les représailles entre parents d'élèves ne s'étaient jamais vues, même sous les yeux d'un dirlo d'établissement, lorsque le harcèlement scolaire persévère… et avec les flics sur haut parleur !

      Donc si, dans certaines situations, la gravité l'emporte largement.

      J'aime pas faire des tableaux noirs, mais comme j'en ai vu de la primaire jusqu'aux études, vaut mieux prévenir…

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.