CNIL : amende de 25 000 euros pour des données personnelles accessibles via un changement d’URL
URL avec les loups
Le 23 novembre 2017 à 13h00
5 min
Droit
Droit
Une société éditant des sites spécialisés dans les démarches administratives en ligne (de type demande d’acte de naissance) vient d’être condamnée par la CNIL pour avoir laissé « librement accessibles » des données fournies par ses utilisateurs – noms, numéros de téléphone...
Alertée le 17 décembre 2016, la Commission nationale de l’informatique et des libertés (CNIL) a attendu près d’un mois avant de lancer plusieurs contrôles en ligne sur les site « www.passeport-express.org », « www.porter-plainte.fr », « www.formalite-acte-de-naissance.org » et « www.demande-non-gage.org » – tous géré par Web Éditions.
Moyennant une rémunération de quelques dizaines d’euros, ces sites se proposent de vous aider dans l’accomplissement de certaines tâches administratives : préparation du dossier nécessaire à l’établissement d’un passeport, envoi de plainte au procureur de la République, etc.
Une simple modification d’URL permettait d'accéder aux données d’autres utilisateurs
Les 11,12 et 13 janvier derniers, les agents de la CNIL ont toutefois constaté qu’un petit tour de passe-passe permettait d’accéder aux informations fournies par d’autres utilisateurs. « Une fois un formulaire de démarches en ligne renseigné, une page récapitulative de la demande s’affichait. En modifiant un numéro dans l’adresse URL de la page récapitulative, ils ont pu accéder aux pages d’autres utilisateurs des différents sites et notamment aux informations qu’elles contenaient », explique l’institution.
En clair, en essayant de changer les chiffres affichés dans la barre d’adresse, il était possible de se retrouver nez à nez avec les informations fournies pour la même démarche, mais par une autre personne. Les données ainsi accessibles étaient loin d’être anodines : nom et prénom, adresses mail et postale, numéro de téléphone...
Figuraient même les noms et prénoms des parents pour les demandes d’actes de naissance, mais aussi – et surtout – les « descriptifs des faits » déposés dans le cadre des plaintes... La gardienne des données personnelles souligne à cet égard qu’étaient parfois évoquées des choses particulièrement sensibles, certaines personnes parlant de leur dépression, de problèmes de santé, etc.
Réaction sous trois jours
Informée par la CNIL de ce problème le 13 janvier, la société Web Éditions est revenue trois jours plus tard vers l’autorité administrative, indiquant que le site « www.formalite-acte-de-naissance.org » avait été modifié et que d'autres mesures correctrices allaient être déployées dans la foulée sur ses autres sites.
Pour parer à ce problème, Web Éditions s’est résolue à utiliser un cookie fourni par le cadre applicatif CAKEPHP. Ce « cookie de session », contenant un identifiant unique, est désormais déposé sur l’équipement terminal de l’utilisateur afin de « s’assurer que la personne souhaitant accéder à une demande pré-enregistrée sur l’un des sites gérés par la société est bien celle qui est à l’origine de la démarche administrative », indique la Commission.
Le problème aurait facilement pu être évité, estime la CNIL
Si la CNIL reconnaît la rapidité à laquelle la société a posé cette « rustine », l’institution n’en demeure pas moins très critique de son comportement global. La gardienne des données personnelles retient tout particulièrement que « les mesures élémentaires de sécurité n’ont pas été prises par la société ».
Et pour cause : il s’avère que Web Éditions « disposait, dès l’origine, du dispositif permettant d’assurer la sécurisation des données à caractère personnel des utilisateurs, mais n’a pas jugé utile d’y recourir. Elle était en effet en possession, avec le cadre applicatif CAKEPHP utilisé pour la création de ses sites internet, du cookie identifiant de session mis en place après l’alerte de la CNIL ».
Une solution « peu coûteuse », souligne l’institution, et dont le recours « ne représentait pas un effort disproportionné » puisqu’elle était « disponible dans l’outil utilisé pour la conception de ses sites internet ».
Une amende de 200 000 euros initialement envisagée
Au titre de ce manquement à l’obligation d’assurer la sécurité des données au titre de l’article 34 de la loi « Informatique et Libertés », le rapporteur de la CNIL proposait initialement d’infliger une sanction pécuniaire de 200 000 euros à Web Éditions (sachant que depuis l’entrée en vigueur de la loi Numérique, l’institution peut aller jusqu’à trois millions d’euros).
De par sa position d’intermédiaire entre les administrés et les services de l’État, la Commission estime que l’entreprise « ne pouvait s’abstenir (...) de placer la sécurisation des données à caractère personnel au cœur de ses préoccupations ».
Après des échanges écrits avec la société, qui soulignait qu’elle n’avait tiré aucun avantage de ce manquement à la loi et que sa coopération avait permis de rectifier rapidement le tir, la CNIL a finalement mis un peu d’eau dans son vin. Il fut au passage difficile de déterminer avec exactitude le nombre de personnes exposées par cette « fuite ». L’autorité administrative retient à cet égard qu’un « nombre important d’utilisateurs, mais aussi de tiers visés dans les formulaires, ont été concernés par l’incident de sécurité ».
Web Éditions, qui craignait pour son avenir économique, a finalement écopé d’une sanction pécuniaire de 25 000 euros. Celle-ci a été rendue publique hier, « au regard du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes quant au risque pesant sur la sécurité de leurs données ».
CNIL : amende de 25 000 euros pour des données personnelles accessibles via un changement d’URL
-
Une simple modification d’URL permettait d'accéder aux données d’autres utilisateurs
-
Réaction sous trois jours
-
Le problème aurait facilement pu être évité, estime la CNIL
-
Une amende de 200 000 euros initialement envisagée
Commentaires (10)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/11/2017 à 13h08
La CNIL, sourde d’oreille quand on l’interpelle sur des sujets sensibles concernant la gestion de nos données par le gouvernement mais n’hésite pas à flinguer une société qui pourtant a réagi rapidement. En quoi la société est responsable si le développeur est une tanche ?
Le 23/11/2017 à 13h17
“En quoi la société est responsable si le développeur est une tanche ?”
Sérieusement ?
C’est le cœur de métier de la société de faire un site web, tu gères des données utilisateurs en lien avec des administrations public, la moindre des choses c’est de faire un petit audit de sécurité avant la MeP.
De plus le type sensé faire la recette du site web aurait pu faire ce test basique …
Vu la rapidité d’intervention, un développeur a déjà du remonter l’info au chef de projet : “C’est déjà en prod, on attend la remontée d’un user pour faire la modif, osef pas le temps”
Bingo c’est la CNIL qui remonte le bousin " />
Le 23/11/2017 à 13h18
Le 23/11/2017 à 14h17
Le 23/11/2017 à 14h32
Il me semble quand même qu’une entreprise quelle qu’elle soit est censée être responsable de ce qui s’y passe et donc des compétences de ses employés.
Si tu diriges un restaurant et que ton cuisinier fait des plats de merde tu auras forcément une part de responsabilité, en tous cas ça me paraît logique… " />
Le 23/11/2017 à 14h43
du coup, maintenant j’imagine Gordon Ramsay se pointer chez Web Éditions et leur balancer “La sécu de vos sites est tellement pas finie qu’Ubisoft a essayé de la publier ! " />”
" />
Le 23/11/2017 à 14h44
ahaha Make My Day !
Le 23/11/2017 à 14h56
Ça c’est un mélange des genres moi je donnais juste un exemple… " />
Cela dit je n’avais jamais entendu parler de ce Gordon Ramsay, il a fallu que j’aille voir sur Google pour savoir qui était ce type. " />
Le 23/11/2017 à 15h55
Tu préconises quoi, que l’amende soit payée par le développeur ? " /> Tu devrais relire ton contrat de travail pour comprendre les responsabilités et les liens de subordination.
Le 23/11/2017 à 17h25
Ça rappelle l’histoire du passe Navigo.
Source : Next INpact