fr

Résolution du problème d’exposition de données dans le système RFP de l’ICANN

12 janvier 2018

Los Angeles, le 12 janvier 2018. La Société pour l'attribution des noms de domaine et des numéros sur Internet (ICANN) a communiqué aujourd'hui un risque potentiel d'exposition de données avec JAGGAER (auparavant SciQuest), l'outil d'approvisionnement (logiciel en tant que service - SaaS) utilisé pour sélectionner des fournisseurs par le biais de processus d'appels d'offres tels que les appels à propositions (RFP). Deux fournisseurs ont signalé à l'ICANN le problème le 4 décembre 2017. L'ICANN en a fait part à JAGGAER immédiatement avec un niveau de gravité 1 et le fournisseur l'a résolu dans les 48 heures.

La défaillance s'est produite dans un module appelé « Sourcing Director », utilisé pour gérer les RFP. Chaque RFP comporte un tableau de questions/réponses où les participants au RFP peuvent poser des questions à l'équipe RFP de l'ICANN. Seuls les membres de l'équipe RFP de l'ICANN peuvent voir les questions lorsqu'elles n'ont pas encore reçu de réponse. Les réponses de l'ICANN sont publiques mais l'identité de la personne à l'origine de la question n'est pas dévoilée sur le site Web.

Le problème survenait lorsque les participants au RFP téléchargeaient la page en faisant une extraction de fichier. Le fichier extrait contenait la liste des noms des entités à l'origine des questions. Nous reconnaissons que le problème a porté atteinte à la confidentialité dont devaient bénéficier les auteurs des questions et a potentiellement divulgué auprès des soumissionnaires les noms de certains de leurs concurrents. Aussitôt le problème identifié, nous avons republié toutes les questions et leurs réponses comme venant de l'ICANN, afin que les noms des auteurs des questions ne figurent plus sur le fichier extrait.

L'ICANN n'a pas été la seule organisation concernée par ce problème. JAGGAER a constaté que celui-ci avait été introduit le 10 novembre 2017 avec la mise à niveau JAGGAER 17.3, qui contenait une amélioration du format du fichier questions/réponses. Étant donné que la plupart des participants accèdent au tableau de questions/réponses sans faire une extraction de fichier, l'ICANN estime que l'exposition de données a été minime. Les participants à trois RFP susceptibles d'en avoir été affectés ont été mis au courant du problème.

L'ICANN rend publiques ces informations dans le cadre de son engagement en faveur de l'ouverture et de la transparence. Si vous avez des questions ou des commentaires, n'hésitez pas à les envoyer à globalsupport@icann.org en indiquant « Problème avec les données JAGGAER » dans la ligne objet.

À PROPOS DE l'ICANN

La mission de l'ICANN est de garantir un Internet mondial sûr, stable et unifié. Pour contacter une personne sur Internet, vous devez saisir une adresse sur votre ordinateur ou autre dispositif : un nom ou un numéro. Cette adresse doit être unique pour permettre aux ordinateurs de s'identifier entre eux. L'ICANN coordonne ces identificateurs uniques à l'échelle mondiale. La société ICANN a été fondée en 1998 en tant qu'organisation à but non lucratif, reconnue d'utilité publique. Elle rassemble au sein de sa communauté des participants du monde entier.