La D.G.I. doit mieux protéger nos données

En 2008 déjà, j’écrivais qu’il fallait que l’État Ayitien prenne au sérieux les nouveautés technologiques. Aujourd’hui, commencent à poindre les conséquences de notre désinvolture. (Et d’autres qui tiennent mordicus au vote électronique!)

Problème de Sécurité sur une partie du site de la D.G.I.

Lundi matin, après avoir rempli un e-formulaire de la DGI (Direction Générale des Impôts, j’ai remarqué un problème de configuration d’accès à leur site.

Puisque cette faille était critique et compromettait des données sensibles des contribuables, j’ai voulu alerter l’institution. Je signalai le problème à un contact travaillant là-bas; celui-là même qui m’avait transféré le lien du formulaire à remplir. Comme il ne répondait pas à mes messages, J’essayai une adresse email trouvé sur le site. Le message m’est retourné.

Réaction désinvolte face à un problème de sécurité publique

Un contact mit au courant un haut responsable et dans la soirée le formulaire fut retiré du site. C’était déjà une bonne chose puisque de nouvelles données ne pouvaient plus être ajoutées par les contribuables. Par contre, les données déjà présentes dans la base étaient encore à la merci de n’importe qui. Je signalai donc, par le même canal, que le problème restait entier. Rien d’autre ne fut fait. Cela devenait urgent. Alors j’écrivis aussi via la page Facebook de la DGI. Aucune réponse non plus. Nous étions mercredi (3 jours), et les données des contribuables étaient encore à la merci du premier venu.

L’accès au formulaire est à revoir

Heureusement, le problème a été corrigé depuis. L’accès aux données des contribuables n’est plus libre. Cependant, si le problème de la confidentialité ne se pose plus, l’accès au formulaire, tel qu’il est pose encore problème. Certaines corrections devraient être portées pour enlever (ou tout au moins réduire) un déficit de fiabilité. Par mesure de sécurité, je listerai les recommandations sans évoquer les problèmes qu’elles résoudront.

  1. Accorder l’accès au formulaire via un compte utilisateur (avec mot de passe, etc.)
  2. Stocker et Gérer les données dans une base relationnelle permettant la modification des valeurs.
  3. Limiter le courriel de confirmation à un simple message de notification. Inutile d’y inclure les données ou des liens vers les données.

Merci de faire passer le message

Contacter nos responsables devient si difficile qu’il serait apprécié si quelqu’un peut faire parvenir ce message à qui de droit.

Haïti, Haïti, Haïti, Haïti, Haïti, Haïti, Haïti, Haïti, Haïti, Haïti, Haïti, Haïti, Haïti, Haïti, Haïti