Connexion
Abonnez-vous

Cnil : 413 144 documents personnels librement accessibles, 30 000 euros d’amende

Alliance avec les loups

Cnil : 413 144 documents personnels librement accessibles, 30 000 euros d’amende

Le 27 septembre 2018 à 14h59

La Cnil vient d’infliger une sanction de 30 000 euros à l’Alliance française de Paris suite à la fuite de plusieurs centaines de milliers de documents personnels. Pendant plusieurs mois, un simple changement de valeur au sein de certaines URL permettait d’avoir accès à ces fichiers.

Factures, certificats d’inscription, récapitulatif des cours suivis... Voilà le type de documents personnels auxquels ont pu librement accéder, en décembre 2017, les agents de la Commission nationale de l’informatique et des libertés (Cnil), dans le cadre d’un contrôle en ligne visant le site Internet de l’Alliance française « Paris Ile-de-France ».

Quelques jours plus tôt, la gardienne des données personnelles avait été alertée de l’existence d’un « défaut de sécurité » affectant un sous-domaine du site de l’association (qui propose des cours de français).

Des données restées accessibles plus de deux mois après le premier contrôle de la Cnil

Le problème, constaté par les agents de la Cnil, concernait des adresses du type :

https://portail.alliancefr.org/utilisateur/telecharger_document?id_document=1 

Une simple modification du chiffre à la fin de l’URL permettait de « télécharger des documents contenant des données à caractère personnel ». La faille était loin d’être bénigne : 15 611 fichiers sont récupérés lors du contrôle, lesquels « contenaient tous au moins un nom et un prénom » et parfois même « une adresse postale et une nationalité ».

Avertie, l’Alliance française a fait savoir à l’autorité administrative indépendante qu’elle procéderait « au plus tôt à la mise en place d’un correctif empêchant cette fuite de données ».

Mais problème : au cours d’un contrôle sur place, diligenté deux mois plus tard, la Cnil découvre que les documents qu’elle avait réussi à télécharger le 4 décembre 2017 étaient toujours accessibles, à partir des mêmes adresses URL... Au total, il s’avère que 413 144 fichiers étaient récupérables en quelques manipulations.

L’histoire ne s’arrête pas là. Le 23 février 2018, un second contrôle en ligne est effectué par les agents de la Cnil. Et rebelote : il s’avère que « les documents pouvaient toujours être téléchargés ».

Il aura finalement fallu attendre le 2 mars pour que l’association indique à la gardienne des données personnelles que des correctifs mettant fin à la fuite venaient d’être mis en place.

Litige avec le sous-traitant

Mise en cause par la Cnil, l’Alliance française s’est tout d’abord défendue en expliquant qu’elle était en conflit avec le sous-traitant en charge de son site Internet, dont le contrat venait d’être rompu. L’association voulait ainsi impérativement attendre qu’un huissier constate la fuite avant de procéder à son colmatage. Constat qui a finalement été réalisé le 20 décembre 2017.

L’institution a également tenté de faire valoir qu’aucun utilisateur n’avait « exploité la vulnérabilité contenue dans les adresses URL en question ».

Ces arguments n’ont toutefois pas convaincu la Cnil. Il faut dire que l’Alliance française avait également reconnu avoir été alertée en juillet 2017, par email, de l’existence d’une vulnérabilité sur le sous-domaine litigieux, mais qu’elle n’avait pas réussi à contacter son auteur.

Pour la Cnil, l’association « aurait dû faire preuve d’une vigilance accrue » suite à cet avertissement. Au travers d’une délibération en date du 6 septembre, l’autorité retient plus largement que l’Alliance française « n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées ».

Une vulnérabilité exploitable sans « compétence particulière »

L’institution a à ses yeux d’autant plus manqué à son obligation d’assurer la sécurité et la confidentialité des données qui lui étaient confiées que « l’exploitation de cette vulnérabilité ne nécessitait aucune compétence particulière ». Une « simple modification » de valeur dans l’URL suffisait.

« Cette vulnérabilité très fréquente aurait pu être évitée si par exemple, l’association avait mis en œuvre un moyen d’authentification permettant de s’assurer que les personnes accédant aux documents étaient bien celles dont les données personnelles étaient contenues dans lesdits documents et éventuellement accompagné d’un dispositif permettant d’éviter la prévisibilité des URL », souligne au passage la Cnil. Cette dernière se montre d’autant plus agacée que ce type de problème est identifié « comme faisant partie des failles de sécurité les plus répandues et pour lesquelles une surveillance particulière s’impose ».

Pour la commission, pas question non plus de s’abriter derrière le sous-traitant : « La circonstance selon laquelle une violation de données ait pu avoir pour origine une erreur commise par un sous-traitant est sans influence sur l’obligation pesant sur le responsable de traitement d’assurer un suivi rigoureux des actions menées par ce dernier. »

La Cnil a donc décidé d’infliger une sanction de 30 000 euros à l’Alliance française, sur la base des dispositions légales antérieures au RGPD. Celle-ci a été rendue publique aujourd'hui « au regard de la gravité du manquement précité », mais aussi « du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les responsables de traitement et les internautes quant aux risques pesant sur la sécurité des données ».

Commentaires (17)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Chuuuuuuuuuuuuuuuuuut.



<img data-src=" />

votre avatar

Avec des amendes aussi faiblardes … ça va pas changer grand chose. Il faudrait vraiment des montants qui fassent bouger les choses des entreprises concernées.

votre avatar

Hum, 30k€ pour 400 000 données nominatives ? C’est pas bien cher payé pour une faille qui n’en est pas une, puisqu’il n’y avait aucune sécurisation des données. Et que faisaient ces données en ligne de toute manière ? L’alliance Française peut se prévaloir de son incompétence si elle le souhaite, mais si on n’est pas compétant, on ne met pas de données sensibles en ligne.&nbsp;

votre avatar

Je pense que l’amende est proportionnel au budget de la structure, donc 30k€ peut faire très mal pour des petits.

Et vu ce que je trouve sur le net concernant cette asso (loi 1901) cette amende n’est pas négligeable.

votre avatar

“Cette vulnérabilité très fréquente aurait pu être évitée si par exemple, l’association avait mis en œuvre un moyen d’authentification permettant de s’assurer que les personnes accédant aux documents étaient bien celles etc…”



Air connu maintenant. Néanmoins, est-ce qu’une authentification sans token est suffisante ? Et si non, quel système de token (passant mon temps à lire qu’ils sont tous bidons…).

votre avatar







HCoverd a écrit :



Avec des amendes aussi faiblardes … ça va pas changer grand chose. Il faudrait vraiment des montants qui fassent bouger les choses des entreprises concernées.





Enfin, le problème est que la CNIL pour l’instant épingle essentiellement des entreprises nationales, parfois comme un bailleur social, ou encore des associations, ici reconnue d’utilité publique et pas au top financièrement puisqu’une petite recherche permet de voir des loyers impayés à hauteur de 700 000 € (en autres).



La première vocation de la LIL et du RGPD ne me semble pas être de sanctionner lourdement les fuites involontaires et comme pourtant le fait la CNIL depuis des mois maintenant visant systématiquement la même faille (Darty, le bailleur social, la présente association ), mais de s’attaquer à l’exploitation volontaire de nos données par des grands groupes comme FB & co qui nous profilent à longueur de temps ou encore des assureurs pour trier la population etc…



Ca donne le sentiment que des manquements involontaires (souvent de la négligence) d’entreprises sont plus problématiques que le profilage massif de la population par des multinationales.



La CNIL pourrait revoir ses priorités il me semble, sauf à laisser penser que “selon que vous serez puissant ou misérable les jugements de cour vous rendront blanc ou noir”, déjà que l’affaire schiappa n’est pas très glorieuse…&nbsp;


votre avatar

tu peux te proteger des gafa (ghostery et co) mais tu peux pas te proteger de l’incompetence d’une structure à qui tu dois fournir des documents sensibles



la CNIL me semble tout à fait fondée à agir sur ces dossiers, surtout que ça ne l’empeche pas d’avancer sur l’autre coté.&nbsp;

votre avatar







HCoverd a écrit :



Avec des amendes aussi faiblardes … ça va pas changer grand chose. Il faudrait vraiment des montants qui fassent bouger les choses des entreprises concernées.









ImpactID a écrit :



Hum, 30k€ pour 400 000 données nominatives ? C’est pas bien cher payé pour une faille qui n’en est pas une, puisqu’il n’y avait aucune sécurisation des données. Et que faisaient ces données en ligne de toute manière ? L’alliance Française peut se prévaloir de son incompétence si elle le souhaite, mais si on n’est pas compétant, on ne met pas de données sensibles en ligne.









La Cnil a donc décidé d’infliger une sanction de 30 000 euros à l’Alliance française, sur la base des dispositions légales post-RGPD. Celle-ci a été rendue publique aujourd’hui « au regard de la gravité du manquement précité », mais aussi « du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les responsables de traitement et les internautes quant aux risques pesant sur la sécurité des données ».

Ceci explique cela. Avec les nouvelles dispositions, le montant de l’amende serait surement plus élevé.


votre avatar

Hmmm, post = après <img data-src=" />

votre avatar







LordZurp a écrit :



tu peux te proteger des gafa (ghostery et co) mais tu peux pas te proteger de l’incompetence d’une structure à qui tu dois fournir des documents sensibles



la CNIL me semble tout à fait fondée à agir sur ces dossiers, surtout que ça ne l’empeche pas d’avancer sur l’autre coté.&nbsp;





Fondait elle l est, là n est pas la question. En revanche je suis intéressé sur «l avancement sur l autre côté», perso j ai rien vu de concret


votre avatar

Authentification sans token ou token sans authentification?



L’authentification sans token ne pose aucun problème (sous réserve qu’elle soit bien faite évidemment).



Pour le token sans authentification, je ne sais pas ce qu’il en est légalement, mais avec les précédents de gens qui faisaient indexer par Google leurs liens ‘secret’, il me semble qu’il est à éviter ne serrait-ce que pour des questions de réputation (buzz sur les billets en lignes SNCF récemment si ma mémoire est bonne).

votre avatar

je partage l’avis de @crocodule

bien sûr c’est un scandale, une honte, le goudron et les plumes… Mais bon pour connaitre le secteur associatif, c’est malheureusement (souvent) en manque criant de ressources. Faire fermer une asso reconnue d’utilité publique c’est toujours un sentiment de gâchis.



Alors oui, évidemment, plusieurs avertissements, rien fait etc… c’est relou. Peut-être que leur annonce surhttps://www.francebenevolat.org/ n’a pas eu de succès ? :)

votre avatar







Zerdligham a écrit :



Authentification sans token ou token sans authentification?




    L’authentification sans token ne pose aucun problème (sous réserve qu'elle soit bien faite évidemment).          






    Pour le token sans authentification, je ne sais pas ce qu'il en est légalement, mais avec les précédents de gens qui faisaient indexer par Google leurs liens 'secret', il me semble qu'il est à éviter ne serrait-ce que pour des questions de réputation (buzz sur les billets en lignes SNCF récemment si ma mémoire est bonne).








    Moi je fais les deux, hachage MD5 coté client (si géré car repose sur jquery) envoyé au serveur = check authentification de la bdd (SHA1+SEL), si ok = ID SESSION, et par ailleurs vérification de chaque page/formulaire privée par un token (token qui est une déclinaison de l'ID SESSION) avant l'affichage. Et naturellement tout ce fait en https.       






 Après je suis pas un professionnel, mais je me dis que c'est le base.

votre avatar







graveen a écrit :



je partage l’avis de @crocodule

bien sûr c’est un scandale, une honte, le goudron et les plumes… Mais bon pour connaitre le secteur associatif, c’est malheureusement (souvent) en manque criant de ressources. Faire fermer une asso reconnue d’utilité publique c’est toujours un sentiment de gâchis.



Alors oui, évidemment, plusieurs avertissements, rien fait etc… c’est relou. Peut-être que leur annonce surhttps://www.francebenevolat.org/ n’a pas eu de succès ? :)





En fait, l’avertissement devrait aussi être complété d’une astreinte (en l’état je ne pense pas que le CNIL puisse le faire), histoire de motiver à la prise de décision.



Par ailleurs et comme tu le relèves, il faut que la CNIL adopte une analyse in concreto des moyens: une association avec de lourdes difficultés économiques, des dirigeants qui démissionnent en série (cf article sur le sujet), et totalement dépendante de son prestataire informatique avec lequel l’association est en conflit, à un moment à l’impossible nul n’est tenu.


votre avatar

Ce que je ne comprends pas bien (à part pour faire constater par l’huissier, mais ça doit être rapide) c’est que la première mesure à prendre c’est de virer les documents de leur espace en ligne.

Je trouve ça bizarre le temps que mettent plein de boîtes, expliqué par un “c’est le prestataire”/“c’est le temps de trouver une solution” etc.



Quand on met des trucs en ligne on le fait bien, sinon on le fait pas.&nbsp; Et si on est informé d’une faille on protège les documents/infos AVANT de chercher une solution technique, non?



Alors oui ça va ralentir la “digitalisation” dans plein de domaines, mais bon, faire vite et mal ne devrait pas être salué comme une avancée majeure de notre société…

votre avatar

Je pense que j’ai compris de travers ce que tu entends par token.

J’avais pensé que tu parlais de token pour les mécanismes à ‘lien secrets’ typehttps://toto.com/facture/a215er51a6156r561s561 fonctionnant sans authentification, dont la sécurité repose sur le fait que le truc à la fin est secret et complexe à deviner (ce que les liens mentionnés dans l’article ne sont pas, puisque ça semble être des numéros qui se suivent). Et c’est justement un mécanisme dont la sécurisation fait débat.



Comme ça semble être autre chose dans ton message suivant, ma réponse était probablement à côté de la plaque.

votre avatar







Zerdligham a écrit :



Je pense que j’ai compris de travers ce que tu entends par token.



 J'avais pensé que tu parlais de token pour les mécanismes à 'lien secrets' typehttps://toto.com/facture/a215er51a6156r561s561 fonctionnant sans authentification, dont la sécurité repose sur le fait que le truc à la fin est secret et complexe à deviner (ce que les liens mentionnés dans l’article ne sont pas, puisque ça semble être des numéros qui se suivent). Et c'est justement un mécanisme dont la sécurisation fait débat.       






 Comme ça semble être autre chose dans ton message suivant, ma réponse était probablement à côté de la plaque.








Sans jamais avoir pu évaluer l'efficacité de la méthode conseillée, le système de token que j'utilise à la suite de discussions sur les forums, consiste à planquer en hiden des valeurs dans un formulaire, qui doivent être récupérées à l'occasion du traitement du formulaire et conditionne l'affichage.      






Perso, je faisais déjà ça via un check de l'id session qui doit correspondre à la personne authentifiée. Mais on m'a expliqué, sans que je sois capable d'exploiter la faille, que l'on pouvait usurper l'id session php d'une personne et qu'il est recommandé d'y ajouter un système de jeton.   





Naturellement, la valeur cachée peut être lue , il faut donc jouer avec un info disponible sur le seul serveur et comparer avec lorsqu’on récupère l’info dans le formulaire.


Cnil : 413 144 documents personnels librement accessibles, 30 000 euros d’amende

  • Des données restées accessibles plus de deux mois après le premier contrôle de la Cnil

  • Litige avec le sous-traitant

  • Une vulnérabilité exploitable sans « compétence particulière »

Fermer