Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Fuite de données : la CNIL inflige une amende de 250 000 euros à Bouygues Télécom

De la fuite dans les idées

Fuite de données : la CNIL inflige une amende de 250 000 euros à Bouygues Télécom

Le 27 décembre 2018 à 10h37

Sans mise en demeure préalable, la CNIL vient d’infliger une sanction de 250 000 euros à Bouygues Télécom. Pendant plus de deux ans, un simple changement de valeur au sein de certaines URL permettait d’avoir accès aux contrats et factures de millions d’abonnés B&You.

 « La violation de données a concerné plus de deux millions d’utilisateurs, soit un nombre très important de personnes », déplore la Commission nationale de l’informatique et des libertés (CNIL) au travers d’une délibération adoptée hier.

L’institution regrette surtout que des « données identifiantes telles que le nom, le prénom, la date de naissance, l’adresse de courrier électronique, l’adresse physique, le numéro de téléphone mobile » de clients Bouygues Télécom aient été « accessibles librement et sans contrôle » pendant « plus de deux ans et trois mois », « faute de vigilance adaptée » de la part de l’opérateur.

La société a néanmoins bénéficié d’une certaine clémence dans la mesure où elle a fait preuve, selon l’autorité administrative, d’une « grande réactivité ».

Une vulnérabilité affectant l’espace personnel des abonnés B&You

La CNIL s’est vue signaler le 2 mars dernier l’existence d’un défaut de sécurité affectant le site « www.bouyguestelecom.fr ». Quatre jours plus tard, l’opérateur avertissait de lui-même la gardienne des données personnelles de cette vulnérabilité (dont il aurait été avisé via Twitter).

Le problème se situait au niveau de l’espace personnel des clients Bouygues Télécom :

« Les adresses URL composées comme suit https://www.bouyguestelecom.fr/archived/index/printcontract/archived_id/X, où X représente un nombre entier, permettaient d’afficher le contrat de souscription d’un client. À partir de cette adresse URL, et en modifiant la valeur de X, il était possible d’afficher le contrat d’un autre client. »

Les données accessibles grâce à cette manipulation basique « étaient contenues dans une table, intitulée archived_contract_invoice, composant la base de données MySQL du site de la société ». Ce fichier contenait 2 176 236 lignes, visant toutes des clients B&You – les forfaits « low cost » de Bouygues Télécom. Les clients traditionnels de l’opérateur (y compris professionnels) n’étaient donc pas concernés.

« Une première série de mesures a été déployée le 5 mars afin d’empêcher l’accès aux données, avant que les équipes techniques ne découvrent l’origine exacte de la vulnérabilité et y remédient », explique la CNIL. Lors d’un contrôle sur place, effectué le 9 mars, les agents de la commission ont d’ailleurs constaté « qu’il n’était effectivement plus possible d’afficher les contrats et factures accessibles à partir des URL susvisées ».

Une faille présente depuis plus de deux ans

Il s’est toutefois avéré que cette faille, bien que colmatée rapidement, était loin d’être récente. L’opérateur a en effet expliqué à la CNIL que « la vulnérabilité trouvait son origine dans la fusion des marques Bouygues Telecom et B&You et des systèmes informatiques correspondants, en 2015 » :

« À l’occasion de tests effectués à la suite de la fusion de ces bases de données, le code informatique rendant nécessaire l’authentification au site web www.bouyguestelecom.fr avait été désactivé. En raison d’une erreur humaine commise par une personne agissant pour le compte de la société, ce code n’a pas été réactivé à l’issue des tests réalisés. »

En plus de la durée de la fuite, ce sont également ses causes qui ont tout particulièrement interpelé la gardienne des données personnelles – ce défaut de sécurité s’expliquant finalement par un bête « oubli ».

Bouygues a tenté de se défendre en affirmant n’avoir commis « aucun manquement », la fuite ne résultant pas de « l’insuffisance des mesures qu’elle aurait prises en matière de sécurité mais d’une erreur humaine ». La société justifiait d’ailleurs de la réalisation de « plusieurs tests d’intrusion » et d’audits portant sur le code de son site web. Ceux-ci n’avaient toutefois pas permis de découvrir la fameuse vulnérabilité, puisqu’ils « n’étaient pas adaptés aux spécificités de la base héritée ».

Pour la CNIL, Bouygues a malgré tout manqué à son obligation d’assurer la sécurité et la confidentialité des données de ses clients. « Si l’oubli de réactiver le code rendant nécessaire l’authentification des utilisateurs sur le site web de la société est effectivement une erreur humaine, dont la société ne peut se prémunir totalement, le fait de ne pas avoir mis en œuvre, pendant plus de deux années, les mesures efficaces permettant de découvrir cette erreur constitue une violation des obligations imposées par [la loi Informatique et Libertés] », retient la gardienne des données personnelles.

L’autorité estime en ce sens que « des mesures de revue automatisée du code adaptées aux spécificités du système d’information hérité et une revue manuelle de la partie du code en charge de l’authentification auraient permis de découvrir la vulnérabilité et d’y remédier ». Et pour cause, « le code commenté comportait spécifiquement l’indication qu’il devait être supprimé à l’issue de la phase de test ».

Faits antérieurs à l'entrée en application du RGPD

Après avoir envisagé une sanction pécuniaire de 500 000 euros (sachant que l’addition peut atteindre 3 millions d’euros pour des faits antérieurs à l’entrée en application du RGPD), la CNIL a finalement décidé d’infliger une amende de 250 000 euros à Bouygues Télécom.

L’autorité a jugé que la société avait été « très réactive dans la mise en place d’une cellule de crise et le déploiement de mesures visant à rendre inaccessibles les données à caractère personnel concernées ». Elle a d’autre part « mis en œuvre un grand nombre de mesures afin de minimiser l’impact d’une éventuelle violation de données pour ses clients, notamment le rappel des bonnes pratiques et la mise à disposition de fiches contenant des conseils pour ses clients, la lutte contre le phishing, la surveillance du dark web et la formation de ses salariés ».

Au regard néanmoins de « la gravité du manquement », ainsi que « du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les responsables de traitements et les internautes quant aux risques pesant sur la sécurité des données », la CNIL a estimé qu’il y avait lieu de rendre publique sa décision.

Commentaires (25)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Un biais lors de l’apprentissage de l’IA ?

votre avatar

La “faille” est béante et que la CNIL la sanctionne est parfaitement logique. 




 En revanche une partie de sa motivation (reprise à longueur de sanction) est totalement bidon:       


 en raison "du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les responsables de traitements et les internautes quant aux risques pesant sur la sécurité des données »"       







 Que la gravité du manquement implique une sanction c'est juridique justifié.        







 En revanche, "personnaliser" la sanction en raison des manquements des autres et afin de sensibiliser les victimes potentielles est la dernière des motivations valables.       







 Par principe et depuis la fin de moyen age on a écarté le principe de la responsabilité collective, ta responsabilité étant personnelle on ne peut justifier la sanction qu'au regard de ton manquement (l'importance de ta faute) et ta personnalité (ta situation), et non pas au regard des erreurs ou fautes des autres ou même de la négligence de l'internaute.    







 J'espère que le Conseil d'Etat aura l'occasion de rappeler ce principe cardinal de notre droit.
votre avatar







wanou2 a écrit :



L’erreur humaine est une opération faite volontairement par une personne qui a conduit à une situation non voulue. Le bug, l’attaque sont des élément indépendant de la volonté d’une personne.





Une erreur volontaire c’est un sabotage non ?

 





recoding a écrit :



“l’erreur humaine” devient une excuse très courante, à propos de tout n’importe quoi. Mais c’est quoi une erreur pas humaine?





C’est très courant car la plupart du temps c’est les humains qui créent encore tout ce qu’ont utilise, ensuite tout dépend de l’appréciation du degré d’erreur. Une erreur pas humaine je pense que c’est plutôt en rapport avec le hardware même si sur des système critique il y à normalement redondance.



 


votre avatar



« Une première série de mesures a été déployée le 5 mars afin d’empêcher l’accès aux données, avant que les équipes techniques ne découvrent l’origine exacte de la vulnérabilité et y remédient »

Il y a vraiment un travail d’investigation à produire sur “l’origine” d’une “vulnérabilité”, quand cette dernière est l’URL de la page accédée ?




votre avatar







kwak-kwak a écrit :



Il y a vraiment un travail d’investigation à produire sur “l’origine” d’une “vulnérabilité”, quand cette dernière est l’URL de la page accédée ?







Je pense qu’il faut ici comprendre le terme “origine” comme l’historique de la vulnérabilité, c’est à dire quand et comment elle a été introduite.


votre avatar



« le code commenté comportait spécifiquement l’indication qu’il devait être supprimé à l’issue de la phase de test ».



#TODO delete after fusion

votre avatar







crocodudule a écrit :



La “faille” est béante et que la CNIL la sanctionne est parfaitement logique. 




 En revanche une partie de sa motivation (reprise à longueur de sanction) est totalement bidon:       


 en raison "du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les responsables de traitements et les internautes quant aux risques pesant sur la sécurité des données »"       







 Que la gravité du manquement implique une sanction c'est juridique justifié.        







 En revanche, "personnaliser" la sanction en raison des manquements des autres et afin de sensibiliser les victimes potentielles est la dernière des motivations valables.       







 Par principe et depuis la fin de moyen age on a écarté le principe de la responsabilité collective, ta responsabilité étant personnelle on ne peut justifier la sanction qu'au regard de ton manquement (l'importance de ta faute) et ta personnalité (ta situation), et non pas au regard des erreurs ou fautes des autres ou même de la négligence de l'internaute.    







 J'espère que le Conseil d'Etat aura l'occasion de rappeler ce principe cardinal de notre droit.






Cool

Sinon tu lis la phrase en entier avant de faire le white knight



Au regard néanmoins de « la gravité du manquement », ainsi que « du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les responsables de traitements et les internautes quant aux risques pesant sur la sécurité des données », la CNIL a estimé qu’il y avait lieu de rendre publique sa décision


votre avatar

Non :



 « À l’occasion de tests effectués à la suite de la fusion de ces bases de données, le code informatique rendant nécessaire l’authentification au site web www.bouyguestelecom.fr avait été désactivé. En raison d’une erreur humaine commise par une personne agissant pour le compte de la société, ce code n’a pas été réactivé à l’issue des tests réalisés. »



Il a fait une action volontaire mais il s’est planté dans son exécution.

votre avatar

Euh, que je vois :



* aient été « accessibles librement et sans contrôle » pendant « plus de deux ans et trois mois », « faute de vigilance adaptée »



et juste après :



* clémence dans la mesure où elle a fait preuve, selon l’autorité administrative, d’une « grande réactivité »



Je <img data-src=" />



Y’a pas comme une contradiction ???

votre avatar

grande réactivité à partir du moment où le problème lui a été notifié, je pense.

votre avatar

Brrrrr du code désactivé pour des tests…ils ne connaissent pas les fichiers de confs?

votre avatar







Radithor a écrit :



lLa plupart des problèmes informatiques se trouvent entre le clavier et la chaise.





&nbsp;And so?

C’est quoi une erreur pas humaine?&nbsp;





wanou2 a écrit :



L’erreur humaine est une opération faite volontairement par une personne qui a conduit à une situation non voulue.



Le bug, l’attaque sont&nbsp;des élément&nbsp;indépendant de la volonté d’une personne.





Donc un bug n’est pas une erreur humaine <img data-src=" />

Moui moui moui.


votre avatar

Quelqu’un sait-il comment signaler simplement de tels problèmes à la CNIL ?

votre avatar

ici je dirais ? (à confirmer)

votre avatar







recoding a écrit :



And so?

C’est quoi une erreur pas humaine?





La question est plutôt : est-ce une erreur ou une faute ? (la Cnil a répondu à cette question)



Et si ce n’est pas humain, l’hypothèse devient trop philosophique (si ce n’est rhétorique) pour que j’entre dans ce type de débat.


votre avatar







recoding a écrit :



Donc un bug n’est pas une erreur humaine <img data-src=" />

Moui moui moui.





Je citerais l’Architecte de Matrix qui sera d’accord en affirmant qu’un programme ne peut contenir d’anomalie, seule l’erreur provient de l’humain qui fait n’importe quoi à cause (grâce) à son libre-arbitre :



“Ta vie est le reste d’une équation déséquilibrée, inérrante à la programmation de la Matrice. Tu es l’éventualité d’une anomalie qu’en dépit de mes efforts les plus sincères j’ai été incapable d’éliminer de ce qui est par ailleurs, une harmonie de précision mathématique. Quoi qu’elle demeure un fardeau dont tu veux t’affranchir, elle n’a rien de surprenant et peut donc obéir à des mesures de contrôle qui vous ont conduit inéxorablement … ici.”



“La première Matrice que j’ai crée était parfaite. Une vraie oeuvre d’art, irréprochable, sublime. Un triomphe qui n’eut d’égal que son monumental échec. Sa chute inéxorable m’apparaît à présent comme une conséquence de l’imperfection innérante à tout être humain. Je l’ai donc remanié. Selon votre évolution. Pour reflèter plus fidèlement les diverses bizarreries de votre nature. J’ai compris par la suite que le succès m’échappait parce qu’il fallait un esprit inférieur au mien ou peut-être bien, un esprit qui serait moins soumis à ces paramètres de perfection. C’est ainsi que la réponse fut trouvée par accident, par l’intuition d’un autre programme, initialement créé pour explorer certains aspects de la psyché humaine. Si moi je suis le père de la Matrice, elle en est indubitablement la mère.”


votre avatar

J’aime le sous titre <img data-src=" />

ça devient la fuite dans les I.D

votre avatar

“l’erreur humaine” devient une excuse très courante, à propos de tout n’importe quoi.



Mais c’est quoi une erreur pas humaine?

votre avatar
votre avatar

L’erreur humaine est une opération faite volontairement par une personne qui a conduit à une situation non voulue.



Le bug, l’attaque sont&nbsp;des élément&nbsp;indépendant de la volonté d’une personne.

votre avatar







Radithor a écrit :



La question est plutôt : est-ce une erreur ou une faute ? (la Cnil a répondu à cette question)



Et si ce n’est pas humain, l’hypothèse devient trop philosophique (si ce n’est rhétorique) pour que j’entre dans ce type de débat.



Je voulais juste signaler que l’“erreur humaine” devient un élément de langage de plein de boîtes, pour dire “c’est pas nous, c’est un individu isolé”.



Or souvent ce sont les process qui sont en cause (et qui conduisent à l’erreur ou ne peuvent l’éviter), et de toute façon les erreurs arrivent, ce qui est problématique c’est de ne pas avoir de filets de protection.



D’après l’article: “Bouygues a tenté de se défendre en affirmant n’avoir commis «&nbsp;aucun manquement&nbsp;», la fuite ne résultant pas de «&nbsp;l’insuffisance des mesures qu’elle aurait prises en matière de sécurité mais d’une erreur humaine&nbsp;».”



A quoi sert une mesure de sécurité qui n’évite pas l’erreur humaine? Elle ne peut pas contrer les attaques volontaires et en même temps permettre l’erreur, il suffirait que l’attaque simule une erreur…


votre avatar







recoding a écrit :



Je voulais juste signaler que l’“erreur humaine” devient un élément de langage de plein de boîtes, pour dire “c’est pas nous, c’est un individu isolé”.







Un donneur d’ordre, un maître d’oeuvre est toujours responsable des malfaçons d’un ouvrier ou d’un prestataire (dans le secteur du bâtiment en tout cas).


votre avatar

<img data-src=" /> L’erreur commise provient d’un manquement… de sérieux de la part de Bouygues, ou plus précisément du presta.



L’erreur humaine est toujours invoquée, c’est mieux que “pas bol ma pov’ Lucette” mais c’est l’idée.



Comme dit au dessus, le manquement est une absence de procédure de contrôle, de tests qualité inexistants, d’une mise sous pression du presta etc… Mais la responsabilité de la société reste et restera engagée, car ceux sont eux qui ont demandé l’applicatif, l’ont déployé et mis en ligne.



Heureusement que cette loi a changé pour qu’un responsable soit toujours trouvable et condamnable, ça remet les choses dans l’ordre.

votre avatar







Radithor a écrit :



Je citerais l’Architecte de Matrix qui sera d’accord en affirmant qu’un programme ne peut contenir d’anomalie, seule l’erreur provient de l’humain qui fait n’importe quoi à cause (grâce) à son libre-arbitre :



“Ta vie est le reste d’une équation déséquilibrée, inérrante à la programmation de la Matrice. Tu es l’éventualité d’une anomalie qu’en dépit de mes efforts les plus sincères j’ai été incapable d’éliminer de ce qui est par ailleurs, une harmonie de précision mathématique. Quoi qu’elle demeure un fardeau dont tu veux t’affranchir, elle n’a rien de surprenant et peut donc obéir à des mesures de contrôle qui vous ont conduit inéxorablement … ici.”



“La première Matrice que j’ai crée était parfaite. Une vraie oeuvre d’art, irréprochable, sublime. Un triomphe qui n’eut d’égal que son monumental échec. Sa chute inéxorable m’apparaît à présent comme une conséquence de l’imperfection innérante à tout être humain. Je l’ai donc remanié. Selon votre évolution. Pour reflèter plus fidèlement les diverses bizarreries de votre nature. J’ai compris par la suite que le succès m’échappait parce qu’il fallait un esprit inférieur au mien ou peut-être bien, un esprit qui serait moins soumis à ces paramètres de perfection. C’est ainsi que la réponse fut trouvée par accident, par l’intuition d’un autre programme, initialement créé pour explorer certains aspects de la psyché humaine. Si moi je suis le père de la Matrice, elle en est indubitablement la mère.”





aussi improbable qu’elle soit. Cette tirade est pourtant bien rempli de sens :o


votre avatar

Non ici c’est super chiant, faut répondre à 1000 trucs et filer son identité, etc.

Fuite de données : la CNIL inflige une amende de 250 000 euros à Bouygues Télécom

  • Une vulnérabilité affectant l’espace personnel des abonnés B&You

  • Une faille présente depuis plus de deux ans

  • Faits antérieurs à l'entrée en application du RGPD

Fermer