La CNIL sanctionne Orange « pour défaut de sécurité des données »

La CNIL sanctionne Orange « pour défaut de sécurité des données »

Plusieurs griefs remontés

Avatar de l'auteur

Sébastien Gavois

Publié dansSociété numérique

25/08/2014
28
La CNIL sanctionne Orange « pour défaut de sécurité des données »

Suite au second vol de données dont avait été victime Orange, la CNIL vient de rendre son verdict : elle sanctionne Orange  « pour défaut de sécurité des données dans le cadre de campagnes marketing ». Du coup, l'opérateur écope d'un « un avertissement public ». 

En mai dernier, Orange annonçait s'être fait dérober des données personnelles, pour la seconde fois en l'espace de trois mois. L'opérateur avait alors détecté « un accès illégitime sur une plateforme technique d'envoi de courriers électroniques et de SMS qu'elle utilise pour ses campagnes commerciales ». Résultat, 1,3 million de clients touchés. Comme il est stipulé dans l'article 38 de l'ordonnance n° 2011-1012 du 24 août 2011, Orange avait alors informé la CNIL de cette intrusion, un point qui a d'ailleurs récemment été confirmé par le gouvernement.

 

Afin de savoir ce qu'il s'est exactement passé, la Commission Nationale de l'Informatique et des Libertés (CNIL) a ouvert une enquête en procédant à des contrôles auprès d'Orange et de ses divers sous-traitants impliqués :

 

« La délégation de contrôle a constaté que les dysfonctionnements ayant engendré la faille de sécurité avaient été corrigés. Toutefois, plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l'engagement d'une procédure de sanction. 

 

Devant la formation restreinte, la société soutenait avoir pris toutes mesures utiles afin de respecter son obligation de sécurité des données.

 

La formation restreinte a toutefois retenu que la société n'a pas fait réaliser d'audit de sécurité avant d'utiliser la solution technique de son prestataire pour l'envoi de campagnes d'emailing alors que cette mesure lui aurait permis d'identifier la faille de sécurité. Elle a également retenu que la société a envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu'aucune clause de sécurité et de confidentialité des données n'avait été imposée à son prestataire. »

 

Elle conclut que « la société a manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévu par l'article 34 de la loi "Informatique et Libertés" et a prononcé à son encontre un avertissement public ». Trois points ont donc été retenus par la Commission : pas d'audit de sécurité, des données transférées de manière non sécurisée et le manque de clause de sécurité et de confidentialité.

 

Le détail complet du compte rendu se trouve par ici. On y apprend notamment qu'Orange a été informée de la faille par l'un de ses clients : « un lien de désinscription figurant sur un courriel de prospection permettait, par une modification de l'adresse URL, d'accéder à un serveur du prestataire secondaire contenant 700 fichiers relatifs aux clients et prospects de la société Orange. Ces fichiers ont été « aspirés » les 4 et 5 mars 2014 depuis une adresse IP non identifiée justifiant un dépôt de plainte de la société sur le plan pénal ».

 

On se souviendra que Stéphane Richard, son PDG, s'était engagé sur la confidentialité des données de ses clients. Quoi qu'il en soit, Orange dispose d'un délai de deux mois pour déposer un recours devant le Conseil d'État.

 

 

Aucune sanction supplémentaire n'est annoncée par la CNIL, mais on aimerait que l'institution se penche également sur les intrusions et vols de données de tout type de société et pas uniquement celles des opérateurs. Des travaux sont en cours au niveau national et Européen (avec le G29), mais pour le moment rien de vraiment concret n'a été annoncé.

28
Avatar de l'auteur

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Poing Dev

Le poing Dev – Round 7

Meuh sept super !

22:32 Next 8
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

« Money time »

18:06 WebSécu 3

Trois consoles portables en quelques semaines

Et une nouvelle façon de concevoir le jeu se confirme

10:45 Hard 36

Sommaire de l'article

Introduction

Poing Dev

Le poing Dev – Round 7

Next 8
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 3

Trois consoles portables en quelques semaines

Hard 36
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

43
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 20
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 21
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 14
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 6

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 16
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 35
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 53
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 11

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 12
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (28)


Tim-timmy
Il y a 9 ans

c’est donc le moment de ressortirhttps://www.youtube.com/watch?v=6uGQeA3x0bs des lidd


anonyme_5308cee4763677866e1421efa4474f79
Il y a 9 ans

Ils auraient pu les sanctionner pour défaut d’innovation aussi. <img data-src=" />


refuznik Abonné
Il y a 9 ans

Bon deja c’est pas trop tôt (cela date de mars), et puis biens sur l’annonce tombe en plein mois d’aout avec seulement un avertissement public.

Perso. ce n’est pas la 1er fois qu’Orange laisse trainer pleins d’infos sur ses clients, je trouve ça vraiment léger. Alors je ne parle même pas si c’est ça doit concerner d’autres entreprises ça sera quoi ?


Oliewan Abonné
Il y a 9 ans






Tim-timmy a écrit :

c’est donc le moment de ressortirhttps://www.youtube.com/watch?v=6uGQeA3x0bs des lidd


J’ai pensé à la même chose…



Batôh
Il y a 9 ans






Tim-timmy a écrit :

C’est donc le moment de ressortir LE lidd

IN. <img data-src=" />



devnull80
Il y a 9 ans

Ce qui me dérange personnellement, c’est la plainte au pénal pour un manquement de leur part. Une URL modifiée et on accède à un serveur http qui permet d’aspirer des fichiers, pour moi cela n’a rien d’illégal vu que l’accès est public.
Poussons le vice plus loin: je génère des URL au hasard, je tombe sur un serveur http avec des documents secrets. Je les prends. La loi sanctionne la tentative d’accès frauduleux et le maintient dans un système. Hors dans le cas d’un serveur web, il sert des pages: il n’y a ni forçage de login/password, ni maintien dans un système tiers: j’envoie une requête, il me répond. Je me demande si la plainte tient face à un juge qui sera (je l’espère) bien conseillé par de vrais experts.


Tim-timmy
Il y a 9 ans






devnull80 a écrit :

Ce qui me dérange personnellement, c’est la plainte au pénal pour un manquement de leur part. Une URL modifiée et on accède à un serveur http qui permet d’aspirer des fichiers, pour moi cela n’a rien d’illégal vu que l’accès est public.
Poussons le vice plus loin: je génère des URL au hasard, je tombe sur un serveur http avec des documents secrets. Je les prends. La loi sanctionne la tentative d’accès frauduleux et le maintient dans un système. Hors dans le cas d’un serveur web, il sert des pages: il n’y a ni forçage de login/password, ni maintien dans un système tiers: j’envoie une requête, il me répond. Je me demande si la plainte tient face à un juge qui sera (je l’espère) bien conseillé par de vrais experts.



veux pas relancer le débat .. mais c’est pas parce que la porte est ouverte que tu peux rentrer, même sans te servir … donc si le juge estime que par tes actes et tes compétences tu savais forcément que l’accès n’était pas prévu/permis, et que tu as choisi de passer outre, c’est condamnable ..

ps: tout internet étant basé sur des requêtes, un piratage ou une ddos aussi, l’expert rira bien :p



Batôh
Il y a 9 ans






Tim-timmy a écrit :

ps: tout internet étant basé sur des requêtes, un piratage ou une ddos aussi, l’expert rira bien :p

A quand la redevance basée sur chaque requeste google ?



RaoulC
Il y a 9 ans

Donc en fait, Orange n’aura plus d’accès internet?<img data-src=" />

Hadopi, défaut de sécurisation, tout ca<img data-src=" />
<img data-src=" />


Jarodd Abonné
Il y a 9 ans

Ils sont tâtillons à la CNIL. Chez Orange, on aime la simplicité. C’est pour cela qu’on a mis admin/admin comme identifiants de l’interface Livebox, et qu’on n’impose pas le changement de login (ainsi M’ame Michu n’a pas à se casser la tête pour trouver un mot de passe sécurisé).

Et c’est aussi pour cela que n’importe quelle personne connectée au Wifi de la Livebox (un pote qui veut voir ses mails par exemple) a accès au contrats, aux factures, aux fichiers du cloud Orange,… Ca simplifie le partage des fichiers, même plus besoin de les publier. Il y a la sécurité, et la sécurité par Orange <img data-src=" />


manus Abonné
Il y a 9 ans






Tim-timmy a écrit :

veux pas relancer le débat .. mais c’est pas parce que la porte est ouverte que tu peux rentrer, même sans te servir … donc si le juge estime que par tes actes et tes compétences tu savais forcément que l’accès n’était pas prévu/permis, et que tu as choisi de passer outre, c’est condamnable ..

ps: tout internet étant basé sur des requêtes, un piratage ou une ddos aussi, l’expert rira bien :p


Non, ça n’a rien avoir, si tu veux comparer il faut dire:




  • tu te balades dans la rue

  • tu sonnes à une porte

  • tu demandes ce qu’il y dans la cuisine

  • on te repond : le code de carte bleu est 1234-1233-1234-1234 la date…

    Rien avoir avec la porte ouverte et tu rentres. Je n’ai jamais aimé cet exemple.
    Ton exemple, c’est je rentre par le port 80, je visite le dossier caché par défaut (accès aux pièces de la maison) et je prends une donnée et l’efface.

    Sinon avec ton exemple cela veut dire que pour chaque URL tu dois demander en amont si tu peux y accéder, donc pas pareil du tout.



leo21fr
Il y a 9 ans

Qui est le prestataire de service qui s’occupe de la sécurité chez Orange ? Capgemini ? OBS ?


saf04
Il y a 9 ans






Jarodd a écrit :

Et c’est aussi pour cela que n’importe quelle personne connectée au Wifi de la Livebox (un pote qui veut voir ses mails par exemple) a accès au contrats, aux factures, aux fichiers du cloud Orange,… Ca simplifie le partage des fichiers, même plus besoin de les publier. Il y a la sécurité, et la sécurité par Orange <img data-src=" />



en fait tu tournes le souci a l’envers.
chez orange tu as un acces facilité a tes mails, a tes factures, a ton cloud, tout ce que tu veux via ta box.
par contre ton contrat implique que seul le signataire est utilisateur de la ligne internet.
une fois signé chez orange, il faut dire a ta femme, a tes gosses et a tes voisins “allez tous voir ailleurs, orange me donne le droit qu’a moi, prenez vous un autre abonnement”



Schawi08
Il y a 9 ans

Bande de clows qui prétends te facturer un antivirus qui ne sers à rien ! et est incapable de protéger ses propres données !!!

no comment

<img data-src=" /><img data-src=" />


choukky Abonné
Il y a 9 ans






saf04 a écrit :

en fait tu tournes le souci a l’envers.
chez orange tu as un acces facilité a tes mails, a tes factures, a ton cloud, tout ce que tu veux via ta box.
par contre ton contrat implique que seul le signataire est utilisateur de la ligne internet.
une fois signé chez orange, il faut dire a ta femme, a tes gosses et a tes voisins “allez tous voir ailleurs, orange me donne le droit qu’a moi, prenez vous un autre abonnement”


<img data-src=" /> Avant j’avais une femme, des gosses et mes voisins étaient sympa.
Maintenant j’ai orange. <img data-src=" />



saf04
Il y a 9 ans






choukky a écrit :

<img data-src=" /> Avant j’avais une femme, des gosses et mes voisins étaient sympa.
Maintenant j’ai orange. <img data-src=" />



tu rigoles mais c’est exactement ca…
lis un contrat d’orange pour te marrer un coup;



choukky Abonné
Il y a 9 ans






saf04 a écrit :

tu rigoles mais c’est exactement ca…
lis un contrat d’orange pour te marrer un coup;


Je suis chez free, chacun sa croix. <img data-src=" />
Je vais 15 fois l’an sur youtube alors la mienne ne me gène pas. <img data-src=" />



zempa Abonné
Il y a 9 ans


la CNIL vient de rendre son verdict :! elle sanctionne Orange « pour défaut de sécurité des données dans le cadre de campagnes marketing ». Du coup, l’opérateur écope d’un « un avertissement public ».

Ha ouais quand même ! Ça ne plaisante pas à la CNIL ! <img data-src=" />


Silly_INpact Abonné
Il y a 9 ans






RaoulC a écrit :

Donc en fait, Orange n’aura plus d’accès internet?<img data-src=" />

Hadopi, défaut de sécurisation, tout ca<img data-src=" />
<img data-src=" />



Ouais Orange se fait juste taper sur les doigts (pas trop fort hein!) pour non sécurisation de données sensibles (coordonnées de ses clients) Mais quand c’est le particulier qui ne sait pas sécuriser sa connexion on va le faire chier <img data-src=" />



cendrev3
Il y a 9 ans






Tim-timmy a écrit :

veux pas relancer le débat .. mais c’est pas parce que la porte est ouverte que tu peux rentrer, même sans te servir … donc si le juge estime que par tes actes et tes compétences tu savais forcément que l’accès n’était pas prévu/permis, et que tu as choisi de passer outre, c’est condamnable ..

ps: tout internet étant basé sur des requêtes, un piratage ou une ddos aussi, l’expert rira bien :p


Sauf que par defaut, tout est public sur internet sauf mention contraire, contrairement a une maison.



ForceRouge Abonné
Il y a 9 ans






Crysalide a écrit :

Ils auraient pu les sanctionner pour défaut d’innovation aussi. <img data-src=" />



N’empêche que Orange à un vrai réseau de qualité, fixe et mobile, fibre à tour de bras, et est le seul a pousser le futur du sms/mms (joyn) pour contrer toutes ces boites privées avide de données personnelles.

Tout ça sans faire tout un foin dans les médias.



Jarodd Abonné
Il y a 9 ans






saf04 a écrit :

en fait tu tournes le souci a l’envers.
chez orange tu as un acces facilité a tes mails, a tes factures, a ton cloud, tout ce que tu veux via ta box.
par contre ton contrat implique que seul le signataire est utilisateur de la ligne internet.
une fois signé chez orange, il faut dire a ta femme, a tes gosses et a tes voisins “allez tous voir ailleurs, orange me donne le droit qu’a moi, prenez vous un autre abonnement”



<img data-src=" /> Tu m’as bien fait rire, je vais en causer à ma femme ! Je vais attendre qu’elle me demande la télécommande <img data-src=" />

Le pire c’est justement cette signature du contrat. Lors de la souscription la nana d’Orange m’a dit : « Alors, nos CGU font 20 pages en police 2, je vais juste vous faire signer la dernière page, sans lire le reste. Si je vous en informe, j’ai le droit de vous dispenser de la lecture ».

Je ne suis pas juriste mais je l’ai trouvée assez cavalière sur ce coup (même si je ne l’ai jamais vu sur un cheval).



philanthropos
Il y a 9 ans






Jarodd a écrit :

Et c’est aussi pour cela que n’importe quelle personne connectée au Wifi de la Livebox (un pote qui veut voir ses mails par exemple) a accès au contrats, aux factures, aux fichiers du cloud Orange,… Ca simplifie le partage des fichiers, même plus besoin de les publier. Il y a la sécurité, et la sécurité par Orange <img data-src=" />



Il “suffit” de créer une seconde adresse mail sur le Webmail Orange et tu ne sera plus connecté par défaut.

Comme dit plus haut, ça été créer dans le but de simplifier le système à l’utilisateur. Après chacun doit être responsable (un minimum) de sa propre sécurité et mettre en place certaines mesures (modification du MDP, sécurisation du Wifi, etc).

J’ajoute que dans le cas des LiveBox PRO V2 un firmware récent a modifié le MDP par défaut en le remplaçant par les 8 premiers caractères de la clé Wifi inscrite sous la Box ; ceci afin de sécuriser l’accès par défaut.



Jarodd a écrit :

Le pire c’est justement cette signature du contrat. Lors de la souscription la nana d’Orange m’a dit : « Alors, nos CGU font 20 pages en police 2, je vais juste vous faire signer la dernière page, sans lire le reste. Si je vous en informe, j’ai le droit de vous dispenser de la lecture ».



Elle a le “droit” en somme de te “dispenser” de la lecture vis-à-vis de ce qu’elle a dit.
Mais tu as aussi le droit de lui dire “Je veux lire le contrat avant de signer” et elle ne pourra pas te dire non (et encore heureux ^^‘).

Et puis dans tous les cas il y a toujours un delais de rétractation après signature (dans le cas où quelqu’un ne lis le contrat qu’une fois rentré chez lui).



Pikrass
Il y a 9 ans






manus a écrit :

Non, ça n’a rien avoir, si tu veux comparer il faut dire:




  • tu te balades dans la rue

  • tu sonnes à une porte

  • tu demandes ce qu’il y dans la cuisine

  • on te repond : le code de carte bleu est 1234-1233-1234-1234 la date…


    La seule chose qui change entre son scénario et le tien, c’est « est-ce que tu es au courant que les données ne sont pas censées être publiques ».
    Si non, alors tu ne risques rien. Si oui, t’as intérêt à déguerpir sans rien emmener.
    A lire l’article de Maître Eolas sur la question :http://www.maitre-eolas.fr/post/2014/02/07/NON,-on-ne-peut-pas-%C3%AAtre-condamn…



SebGF Abonné
Il y a 9 ans






Jarodd a écrit :

Ils sont tâtillons à la CNIL. Chez Orange, on aime la simplicité. C’est pour cela qu’on a mis admin/admin comme identifiants de l’interface Livebox, et qu’on n’impose pas le changement de login (ainsi M’ame Michu n’a pas à se casser la tête pour trouver un mot de passe sécurisé).

Et c’est aussi pour cela que n’importe quelle personne connectée au Wifi de la Livebox (un pote qui veut voir ses mails par exemple) a accès au contrats, aux factures, aux fichiers du cloud Orange,… Ca simplifie le partage des fichiers, même plus besoin de les publier. Il y a la sécurité, et la sécurité par Orange <img data-src=" />



Faut aller chez Bouygues Tel alors.

En excluant que la Bbox est aussi à base de admin/admin (tfaçon c’est la même merde Sagem que les Livebox), l’interface client est inaccessible en permanence. Chaque fois que je veux aller dessus pour genre consulter une facture ou voir une option, l’authentification échoue ou alors le service est pas dispo, etc.

Sé-cu-ri-sé ! <img data-src=" />

M’enfin plus sérieusement, la LB2 au moins quand je changeais le mot de passe admin, elle le gardait (sauf la fois où une MàJ l’a reset). La Bbox, faut lui reset la gueule tellement souvent que ça sert à rien de la paramétrer…



ajams
Il y a 9 ans

On ne peut pas vraiment appeler ça une sanction si !? <img data-src=" />


dematbreizh Abonné
Il y a 9 ans






RaoulC a écrit :

Donc en fait, Orange n’aura plus d’accès internet?<img data-src=" />

Hadopi, défaut de sécurisation, tout ca<img data-src=" />
<img data-src=" />


“depuis une adresse IP non identifiée ” Contradiction détectée: Hadopi existe car une adresse ip est un identifiant.



philanthropos
Il y a 9 ans






ajams a écrit :

On ne peut pas vraiment appeler ça une sanction si !? <img data-src=" />



Il faut prendre ça comme un “rappel à l’ordre” en public. Un peu comme si tu te faisait engueuler par ton patron devant tes collègues pour une connerie que tu as faite.

Bon la différence c’est que tu n’es pas une multinationnales capitalisant 32 Mlds :3


La CNIL dispose d’un éventail assez large de “sanctions” et celle-ci est plutôt limitée je te l’accorde.

Après il faut appeller un chat un chat, il n’y a pas eu “intrusion” au sens propre (pas de hack de leur BDD), des couillons ont “juste” sniffé les fichiers qui passaient en clair et bim.

La faute revient à Orange et son prestataire évidement (et surtout aux responsables qui n’ont pas trouvés utile de chiffrer les données & d’audit le prestataire).

Au dela de ça leur architecture n’est en rien responsable.