Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

La CNIL sanctionne Orange « pour défaut de sécurité des données »

Plusieurs griefs remontés

La CNIL sanctionne Orange « pour défaut de sécurité des données »

Le 25 août 2014 à 16h25

Suite au second vol de données dont avait été victime Orange, la CNIL vient de rendre son verdict : elle sanctionne Orange  « pour défaut de sécurité des données dans le cadre de campagnes marketing ». Du coup, l'opérateur écope d'un « un avertissement public ». 

En mai dernier, Orange annonçait s'être fait dérober des données personnelles, pour la seconde fois en l'espace de trois mois. L'opérateur avait alors détecté « un accès illégitime sur une plateforme technique d'envoi de courriers électroniques et de SMS qu'elle utilise pour ses campagnes commerciales ». Résultat, 1,3 million de clients touchés. Comme il est stipulé dans l'article 38 de l'ordonnance n° 2011 - 1012 du 24 août 2011, Orange avait alors informé la CNIL de cette intrusion, un point qui a d'ailleurs récemment été confirmé par le gouvernement.

 

Afin de savoir ce qu'il s'est exactement passé, la Commission Nationale de l'Informatique et des Libertés (CNIL) a ouvert une enquête en procédant à des contrôles auprès d'Orange et de ses divers sous-traitants impliqués :

 

« La délégation de contrôle a constaté que les dysfonctionnements ayant engendré la faille de sécurité avaient été corrigés. Toutefois, plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l'engagement d'une procédure de sanction. 

 

Devant la formation restreinte, la société soutenait avoir pris toutes mesures utiles afin de respecter son obligation de sécurité des données.

 

La formation restreinte a toutefois retenu que la société n'a pas fait réaliser d'audit de sécurité avant d'utiliser la solution technique de son prestataire pour l'envoi de campagnes d'emailing alors que cette mesure lui aurait permis d'identifier la faille de sécurité. Elle a également retenu que la société a envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu'aucune clause de sécurité et de confidentialité des données n'avait été imposée à son prestataire. »

 

Elle conclut que « la société a manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévu par l'article 34 de la loi "Informatique et Libertés" et a prononcé à son encontre un avertissement public ». Trois points ont donc été retenus par la Commission : pas d'audit de sécurité, des données transférées de manière non sécurisée et le manque de clause de sécurité et de confidentialité.

 

Le détail complet du compte rendu se trouve par ici. On y apprend notamment qu'Orange a été informée de la faille par l'un de ses clients : « un lien de désinscription figurant sur un courriel de prospection permettait, par une modification de l'adresse URL, d'accéder à un serveur du prestataire secondaire contenant 700 fichiers relatifs aux clients et prospects de la société Orange. Ces fichiers ont été « aspirés » les 4 et 5 mars 2014 depuis une adresse IP non identifiée justifiant un dépôt de plainte de la société sur le plan pénal ».

 

On se souviendra que Stéphane Richard, son PDG, s'était engagé sur la confidentialité des données de ses clients. Quoi qu'il en soit, Orange dispose d'un délai de deux mois pour déposer un recours devant le Conseil d'État.

 

 

Aucune sanction supplémentaire n'est annoncée par la CNIL, mais on aimerait que l'institution se penche également sur les intrusions et vols de données de tout type de société et pas uniquement celles des opérateurs. Des travaux sont en cours au niveau national et Européen (avec le G29), mais pour le moment rien de vraiment concret n'a été annoncé.

Commentaires (28)

votre avatar

c’est donc le moment de ressortiryoutube.com YouTube des lidd

votre avatar

Ils auraient pu les sanctionner pour défaut d’innovation aussi. <img data-src=" />

votre avatar

Bon deja c’est pas trop tôt (cela date de mars), et puis biens sur l’annonce tombe en plein mois d’aout avec seulement un avertissement public.



Perso. ce n’est pas la 1er fois qu’Orange laisse trainer pleins d’infos sur ses clients, je trouve ça vraiment léger. Alors je ne parle même pas si c’est ça doit concerner d’autres entreprises ça sera quoi ?

votre avatar







Tim-timmy a écrit :



c’est donc le moment de ressortiryoutube.com YouTube des lidd





J’ai pensé à la même chose…


votre avatar







Tim-timmy a écrit :



C’est donc le moment de ressortir LE lidd



IN. <img data-src=" />


votre avatar

Ce qui me dérange personnellement, c’est la plainte au pénal pour un manquement de leur part. Une URL modifiée et on accède à un serveur http qui permet d’aspirer des fichiers, pour moi cela n’a rien d’illégal vu que l’accès est public.

Poussons le vice plus loin: je génère des URL au hasard, je tombe sur un serveur http avec des documents secrets. Je les prends. La loi sanctionne la tentative d’accès frauduleux et le maintient dans un système. Hors dans le cas d’un serveur web, il sert des pages: il n’y a ni forçage de login/password, ni maintien dans un système tiers: j’envoie une requête, il me répond. Je me demande si la plainte tient face à un juge qui sera (je l’espère) bien conseillé par de vrais experts.

votre avatar







devnull80 a écrit :



Ce qui me dérange personnellement, c’est la plainte au pénal pour un manquement de leur part. Une URL modifiée et on accède à un serveur http qui permet d’aspirer des fichiers, pour moi cela n’a rien d’illégal vu que l’accès est public.

Poussons le vice plus loin: je génère des URL au hasard, je tombe sur un serveur http avec des documents secrets. Je les prends. La loi sanctionne la tentative d’accès frauduleux et le maintient dans un système. Hors dans le cas d’un serveur web, il sert des pages: il n’y a ni forçage de login/password, ni maintien dans un système tiers: j’envoie une requête, il me répond. Je me demande si la plainte tient face à un juge qui sera (je l’espère) bien conseillé par de vrais experts.







veux pas relancer le débat .. mais c’est pas parce que la porte est ouverte que tu peux rentrer, même sans te servir … donc si le juge estime que par tes actes et tes compétences tu savais forcément que l’accès n’était pas prévu/permis, et que tu as choisi de passer outre, c’est condamnable ..



ps: tout internet étant basé sur des requêtes, un piratage ou une ddos aussi, l’expert rira bien :p


votre avatar







Tim-timmy a écrit :



ps: tout internet étant basé sur des requêtes, un piratage ou une ddos aussi, l’expert rira bien :p



A quand la redevance basée sur chaque requeste google ?


votre avatar

Donc en fait, Orange n’aura plus d’accès internet?<img data-src=" />



Hadopi, défaut de sécurisation, tout ca<img data-src=" />

<img data-src=" />

votre avatar

Ils sont tâtillons à la CNIL. Chez Orange, on aime la simplicité. C’est pour cela qu’on a mis admin/admin comme identifiants de l’interface Livebox, et qu’on n’impose pas le changement de login (ainsi M’ame Michu n’a pas à se casser la tête pour trouver un mot de passe sécurisé).



Et c’est aussi pour cela que n’importe quelle personne connectée au Wifi de la Livebox (un pote qui veut voir ses mails par exemple) a accès au contrats, aux factures, aux fichiers du cloud Orange,… Ca simplifie le partage des fichiers, même plus besoin de les publier. Il y a la sécurité, et la sécurité par Orange <img data-src=" />

votre avatar







Tim-timmy a écrit :



veux pas relancer le débat .. mais c’est pas parce que la porte est ouverte que tu peux rentrer, même sans te servir … donc si le juge estime que par tes actes et tes compétences tu savais forcément que l’accès n’était pas prévu/permis, et que tu as choisi de passer outre, c’est condamnable ..



ps: tout internet étant basé sur des requêtes, un piratage ou une ddos aussi, l’expert rira bien :p





Non, ça n’a rien avoir, si tu veux comparer il faut dire:




  • tu te balades dans la rue

  • tu sonnes à une porte

  • tu demandes ce qu’il y dans la cuisine

  • on te repond : le code de carte bleu est 1234-1233-1234-1234 la date…



    Rien avoir avec la porte ouverte et tu rentres. Je n’ai jamais aimé cet exemple.

    Ton exemple, c’est je rentre par le port 80, je visite le dossier caché par défaut (accès aux pièces de la maison) et je prends une donnée et l’efface.



    Sinon avec ton exemple cela veut dire que pour chaque URL tu dois demander en amont si tu peux y accéder, donc pas pareil du tout.


votre avatar

Qui est le prestataire de service qui s’occupe de la sécurité chez Orange ? Capgemini ? OBS ?

votre avatar







Jarodd a écrit :



Et c’est aussi pour cela que n’importe quelle personne connectée au Wifi de la Livebox (un pote qui veut voir ses mails par exemple) a accès au contrats, aux factures, aux fichiers du cloud Orange,… Ca simplifie le partage des fichiers, même plus besoin de les publier. Il y a la sécurité, et la sécurité par Orange <img data-src=" />







en fait tu tournes le souci a l’envers.

chez orange tu as un acces facilité a tes mails, a tes factures, a ton cloud, tout ce que tu veux via ta box.

par contre ton contrat implique que seul le signataire est utilisateur de la ligne internet.

une fois signé chez orange, il faut dire a ta femme, a tes gosses et a tes voisins “allez tous voir ailleurs, orange me donne le droit qu’a moi, prenez vous un autre abonnement”


votre avatar

Bande de clows qui prétends te facturer un antivirus qui ne sers à rien ! et est incapable de protéger ses propres données !!!



no comment



<img data-src=" /><img data-src=" />

votre avatar







saf04 a écrit :



en fait tu tournes le souci a l’envers.

chez orange tu as un acces facilité a tes mails, a tes factures, a ton cloud, tout ce que tu veux via ta box.

par contre ton contrat implique que seul le signataire est utilisateur de la ligne internet.

une fois signé chez orange, il faut dire a ta femme, a tes gosses et a tes voisins “allez tous voir ailleurs, orange me donne le droit qu’a moi, prenez vous un autre abonnement”





<img data-src=" /> Avant j’avais une femme, des gosses et mes voisins étaient sympa.

Maintenant j’ai orange. <img data-src=" />


votre avatar







choukky a écrit :



<img data-src=" /> Avant j’avais une femme, des gosses et mes voisins étaient sympa.

Maintenant j’ai orange. <img data-src=" />







tu rigoles mais c’est exactement ca…

lis un contrat d’orange pour te marrer un coup;


votre avatar







saf04 a écrit :



tu rigoles mais c’est exactement ca…

lis un contrat d’orange pour te marrer un coup;





Je suis chez free, chacun sa croix. <img data-src=" />

Je vais 15 fois l’an sur youtube alors la mienne ne me gène pas. <img data-src=" />


votre avatar



la CNIL vient de rendre son verdict :! elle sanctionne Orange « pour défaut de sécurité des données dans le cadre de campagnes marketing ». Du coup, l’opérateur écope d’un « un avertissement public ».



Ha ouais quand même ! Ça ne plaisante pas à la CNIL ! <img data-src=" />

votre avatar







RaoulC a écrit :



Donc en fait, Orange n’aura plus d’accès internet?<img data-src=" />



Hadopi, défaut de sécurisation, tout ca<img data-src=" />

<img data-src=" />







Ouais Orange se fait juste taper sur les doigts (pas trop fort hein!) pour non sécurisation de données sensibles (coordonnées de ses clients) Mais quand c’est le particulier qui ne sait pas sécuriser sa connexion on va le faire chier <img data-src=" />


votre avatar







Tim-timmy a écrit :



veux pas relancer le débat .. mais c’est pas parce que la porte est ouverte que tu peux rentrer, même sans te servir … donc si le juge estime que par tes actes et tes compétences tu savais forcément que l’accès n’était pas prévu/permis, et que tu as choisi de passer outre, c’est condamnable ..



ps: tout internet étant basé sur des requêtes, un piratage ou une ddos aussi, l’expert rira bien :p





Sauf que par defaut, tout est public sur internet sauf mention contraire, contrairement a une maison.


votre avatar







Crysalide a écrit :



Ils auraient pu les sanctionner pour défaut d’innovation aussi. <img data-src=" />







N’empêche que Orange à un vrai réseau de qualité, fixe et mobile, fibre à tour de bras, et est le seul a pousser le futur du sms/mms (joyn) pour contrer toutes ces boites privées avide de données personnelles.



Tout ça sans faire tout un foin dans les médias.


votre avatar







saf04 a écrit :



en fait tu tournes le souci a l’envers.

chez orange tu as un acces facilité a tes mails, a tes factures, a ton cloud, tout ce que tu veux via ta box.

par contre ton contrat implique que seul le signataire est utilisateur de la ligne internet.

une fois signé chez orange, il faut dire a ta femme, a tes gosses et a tes voisins “allez tous voir ailleurs, orange me donne le droit qu’a moi, prenez vous un autre abonnement”







<img data-src=" /> Tu m’as bien fait rire, je vais en causer à ma femme ! Je vais attendre qu’elle me demande la télécommande <img data-src=" />



Le pire c’est justement cette signature du contrat. Lors de la souscription la nana d’Orange m’a dit : « Alors, nos CGU font 20 pages en police 2, je vais juste vous faire signer la dernière page, sans lire le reste. Si je vous en informe, j’ai le droit de vous dispenser de la lecture ».



Je ne suis pas juriste mais je l’ai trouvée assez cavalière sur ce coup (même si je ne l’ai jamais vu sur un cheval).


votre avatar







Jarodd a écrit :



Et c’est aussi pour cela que n’importe quelle personne connectée au Wifi de la Livebox (un pote qui veut voir ses mails par exemple) a accès au contrats, aux factures, aux fichiers du cloud Orange,… Ca simplifie le partage des fichiers, même plus besoin de les publier. Il y a la sécurité, et la sécurité par Orange <img data-src=" />







Il “suffit” de créer une seconde adresse mail sur le Webmail Orange et tu ne sera plus connecté par défaut.



Comme dit plus haut, ça été créer dans le but de simplifier le système à l’utilisateur. Après chacun doit être responsable (un minimum) de sa propre sécurité et mettre en place certaines mesures (modification du MDP, sécurisation du Wifi, etc).



J’ajoute que dans le cas des LiveBox PRO V2 un firmware récent a modifié le MDP par défaut en le remplaçant par les 8 premiers caractères de la clé Wifi inscrite sous la Box ; ceci afin de sécuriser l’accès par défaut.







Jarodd a écrit :



Le pire c’est justement cette signature du contrat. Lors de la souscription la nana d’Orange m’a dit : « Alors, nos CGU font 20 pages en police 2, je vais juste vous faire signer la dernière page, sans lire le reste. Si je vous en informe, j’ai le droit de vous dispenser de la lecture ».







Elle a le “droit” en somme de te “dispenser” de la lecture vis-à-vis de ce qu’elle a dit.

Mais tu as aussi le droit de lui dire “Je veux lire le contrat avant de signer” et elle ne pourra pas te dire non (et encore heureux ^^‘).



Et puis dans tous les cas il y a toujours un delais de rétractation après signature (dans le cas où quelqu’un ne lis le contrat qu’une fois rentré chez lui).


votre avatar







manus a écrit :



Non, ça n’a rien avoir, si tu veux comparer il faut dire:




  • tu te balades dans la rue

  • tu sonnes à une porte

  • tu demandes ce qu’il y dans la cuisine

  • on te repond : le code de carte bleu est 1234-1233-1234-1234 la date…





    La seule chose qui change entre son scénario et le tien, c’est « est-ce que tu es au courant que les données ne sont pas censées être publiques ».

    Si non, alors tu ne risques rien. Si oui, t’as intérêt à déguerpir sans rien emmener.

    A lire l’article de Maître Eolas sur la question :http://www.maitre-eolas.fr/post/2014/02/07/NON,-on-ne-peut-pas-%C3%AAtre-condamn…


votre avatar







Jarodd a écrit :



Ils sont tâtillons à la CNIL. Chez Orange, on aime la simplicité. C’est pour cela qu’on a mis admin/admin comme identifiants de l’interface Livebox, et qu’on n’impose pas le changement de login (ainsi M’ame Michu n’a pas à se casser la tête pour trouver un mot de passe sécurisé).



Et c’est aussi pour cela que n’importe quelle personne connectée au Wifi de la Livebox (un pote qui veut voir ses mails par exemple) a accès au contrats, aux factures, aux fichiers du cloud Orange,… Ca simplifie le partage des fichiers, même plus besoin de les publier. Il y a la sécurité, et la sécurité par Orange <img data-src=" />







Faut aller chez Bouygues Tel alors.



En excluant que la Bbox est aussi à base de admin/admin (tfaçon c’est la même merde Sagem que les Livebox), l’interface client est inaccessible en permanence. Chaque fois que je veux aller dessus pour genre consulter une facture ou voir une option, l’authentification échoue ou alors le service est pas dispo, etc.



Sé-cu-ri-sé ! <img data-src=" />



M’enfin plus sérieusement, la LB2 au moins quand je changeais le mot de passe admin, elle le gardait (sauf la fois où une MàJ l’a reset). La Bbox, faut lui reset la gueule tellement souvent que ça sert à rien de la paramétrer…


votre avatar

On ne peut pas vraiment appeler ça une sanction si !? <img data-src=" />

votre avatar







RaoulC a écrit :



Donc en fait, Orange n’aura plus d’accès internet?<img data-src=" />



Hadopi, défaut de sécurisation, tout ca<img data-src=" />

<img data-src=" />





“depuis une adresse IP non identifiée ” Contradiction détectée: Hadopi existe car une adresse ip est un identifiant.


votre avatar







ajams a écrit :



On ne peut pas vraiment appeler ça une sanction si !? <img data-src=" />







Il faut prendre ça comme un “rappel à l’ordre” en public. Un peu comme si tu te faisait engueuler par ton patron devant tes collègues pour une connerie que tu as faite.



Bon la différence c’est que tu n’es pas une multinationnales capitalisant 32 Mlds :3





La CNIL dispose d’un éventail assez large de “sanctions” et celle-ci est plutôt limitée je te l’accorde.



Après il faut appeller un chat un chat, il n’y a pas eu “intrusion” au sens propre (pas de hack de leur BDD), des couillons ont “juste” sniffé les fichiers qui passaient en clair et bim.



La faute revient à Orange et son prestataire évidement (et surtout aux responsables qui n’ont pas trouvés utile de chiffrer les données & d’audit le prestataire).



Au dela de ça leur architecture n’est en rien responsable.


La CNIL sanctionne Orange « pour défaut de sécurité des données »

Fermer