Suite au second vol de données dont avait été victime Orange, la CNIL vient de rendre son verdict : elle sanctionne Orange « pour défaut de sécurité des données dans le cadre de campagnes marketing ». Du coup, l'opérateur écope d'un « un avertissement public ».
En mai dernier, Orange annonçait s'être fait dérober des données personnelles, pour la seconde fois en l'espace de trois mois. L'opérateur avait alors détecté « un accès illégitime sur une plateforme technique d'envoi de courriers électroniques et de SMS qu'elle utilise pour ses campagnes commerciales ». Résultat, 1,3 million de clients touchés. Comme il est stipulé dans l'article 38 de l'ordonnance n° 2011-1012 du 24 août 2011, Orange avait alors informé la CNIL de cette intrusion, un point qui a d'ailleurs récemment été confirmé par le gouvernement.
Afin de savoir ce qu'il s'est exactement passé, la Commission Nationale de l'Informatique et des Libertés (CNIL) a ouvert une enquête en procédant à des contrôles auprès d'Orange et de ses divers sous-traitants impliqués :
« La délégation de contrôle a constaté que les dysfonctionnements ayant engendré la faille de sécurité avaient été corrigés. Toutefois, plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l'engagement d'une procédure de sanction.
Devant la formation restreinte, la société soutenait avoir pris toutes mesures utiles afin de respecter son obligation de sécurité des données.
La formation restreinte a toutefois retenu que la société n'a pas fait réaliser d'audit de sécurité avant d'utiliser la solution technique de son prestataire pour l'envoi de campagnes d'emailing alors que cette mesure lui aurait permis d'identifier la faille de sécurité. Elle a également retenu que la société a envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu'aucune clause de sécurité et de confidentialité des données n'avait été imposée à son prestataire. »
Elle conclut que « la société a manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévu par l'article 34 de la loi "Informatique et Libertés" et a prononcé à son encontre un avertissement public ». Trois points ont donc été retenus par la Commission : pas d'audit de sécurité, des données transférées de manière non sécurisée et le manque de clause de sécurité et de confidentialité.
Le détail complet du compte rendu se trouve par ici. On y apprend notamment qu'Orange a été informée de la faille par l'un de ses clients : « un lien de désinscription figurant sur un courriel de prospection permettait, par une modification de l'adresse URL, d'accéder à un serveur du prestataire secondaire contenant 700 fichiers relatifs aux clients et prospects de la société Orange. Ces fichiers ont été « aspirés » les 4 et 5 mars 2014 depuis une adresse IP non identifiée justifiant un dépôt de plainte de la société sur le plan pénal ».
On se souviendra que Stéphane Richard, son PDG, s'était engagé sur la confidentialité des données de ses clients. Quoi qu'il en soit, Orange dispose d'un délai de deux mois pour déposer un recours devant le Conseil d'État.
Aucune sanction supplémentaire n'est annoncée par la CNIL, mais on aimerait que l'institution se penche également sur les intrusions et vols de données de tout type de société et pas uniquement celles des opérateurs. Des travaux sont en cours au niveau national et Européen (avec le G29), mais pour le moment rien de vraiment concret n'a été annoncé.
Commentaires (28)
c’est donc le moment de ressortirhttps://www.youtube.com/watch?v=6uGQeA3x0bs des lidd
Ils auraient pu les sanctionner pour défaut d’innovation aussi.
" />
Bon deja c’est pas trop tôt (cela date de mars), et puis biens sur l’annonce tombe en plein mois d’aout avec seulement un avertissement public.
Perso. ce n’est pas la 1er fois qu’Orange laisse trainer pleins d’infos sur ses clients, je trouve ça vraiment léger. Alors je ne parle même pas si c’est ça doit concerner d’autres entreprises ça sera quoi ?
Ce qui me dérange personnellement, c’est la plainte au pénal pour un manquement de leur part. Une URL modifiée et on accède à un serveur http qui permet d’aspirer des fichiers, pour moi cela n’a rien d’illégal vu que l’accès est public.
Poussons le vice plus loin: je génère des URL au hasard, je tombe sur un serveur http avec des documents secrets. Je les prends. La loi sanctionne la tentative d’accès frauduleux et le maintient dans un système. Hors dans le cas d’un serveur web, il sert des pages: il n’y a ni forçage de login/password, ni maintien dans un système tiers: j’envoie une requête, il me répond. Je me demande si la plainte tient face à un juge qui sera (je l’espère) bien conseillé par de vrais experts.
Donc en fait, Orange n’aura plus d’accès internet?
" />
" />
" />
Hadopi, défaut de sécurisation, tout ca
Ils sont tâtillons à la CNIL. Chez Orange, on aime la simplicité. C’est pour cela qu’on a mis admin/admin comme identifiants de l’interface Livebox, et qu’on n’impose pas le changement de login (ainsi M’ame Michu n’a pas à se casser la tête pour trouver un mot de passe sécurisé).
" />
Et c’est aussi pour cela que n’importe quelle personne connectée au Wifi de la Livebox (un pote qui veut voir ses mails par exemple) a accès au contrats, aux factures, aux fichiers du cloud Orange,… Ca simplifie le partage des fichiers, même plus besoin de les publier. Il y a la sécurité, et la sécurité par Orange
Qui est le prestataire de service qui s’occupe de la sécurité chez Orange ? Capgemini ? OBS ?
Bande de clows qui prétends te facturer un antivirus qui ne sers à rien ! et est incapable de protéger ses propres données !!!
" />
" />
no comment
la CNIL vient de rendre son verdict :! elle sanctionne Orange « pour défaut de sécurité des données dans le cadre de campagnes marketing ». Du coup, l’opérateur écope d’un « un avertissement public ».
Ha ouais quand même ! Ça ne plaisante pas à la CNIL !
On ne peut pas vraiment appeler ça une sanction si !?
" />