CNIL : amende de 25 000 euros pour des données personnelles accessibles via un changement d’URL

CNIL : amende de 25 000 euros pour des données personnelles accessibles via un changement d’URL

URL avec les loups

Avatar de l'auteur

Xavier Berne

Publié dansDroit

23/11/2017
10
CNIL : amende de 25 000 euros pour des données personnelles accessibles via un changement d’URL

Une société éditant des sites spécialisés dans les démarches administratives en ligne (de type demande d’acte de naissance) vient d’être condamnée par la CNIL pour avoir laissé « librement accessibles » des données fournies par ses utilisateurs – noms, numéros de téléphone...

Alertée le 17 décembre 2016, la Commission nationale de l’informatique et des libertés (CNIL) a attendu près d’un mois avant de lancer plusieurs contrôles en ligne sur les site « www.passeport-express.org », « www.porter-plainte.fr », « www.formalite-acte-de-naissance.org » et « www.demande-non-gage.org » – tous géré par Web Éditions.

Moyennant une rémunération de quelques dizaines d’euros, ces sites se proposent de vous aider dans l’accomplissement de certaines tâches administratives : préparation du dossier nécessaire à l’établissement d’un passeport, envoi de plainte au procureur de la République, etc.

Une simple modification d’URL permettait d'accéder aux données d’autres utilisateurs

Les 11,12 et 13 janvier derniers, les agents de la CNIL ont toutefois constaté qu’un petit tour de passe-passe permettait d’accéder aux informations fournies par d’autres utilisateurs. « Une fois un formulaire de démarches en ligne renseigné, une page récapitulative de la demande s’affichait. En modifiant un numéro dans l’adresse URL de la page récapitulative, ils ont pu accéder aux pages d’autres utilisateurs des différents sites et notamment aux informations qu’elles contenaient », explique l’institution.

En clair, en essayant de changer les chiffres affichés dans la barre d’adresse, il était possible de se retrouver nez à nez avec les informations fournies pour la même démarche, mais par une autre personne. Les données ainsi accessibles étaient loin d’être anodines : nom et prénom, adresses mail et postale, numéro de téléphone...

Figuraient même les noms et prénoms des parents pour les demandes d’actes de naissance, mais aussi – et surtout – les « descriptifs des faits » déposés dans le cadre des plaintes... La gardienne des données personnelles souligne à cet égard qu’étaient parfois évoquées des choses particulièrement sensibles, certaines personnes parlant de leur dépression, de problèmes de santé, etc.

Réaction sous trois jours

Informée par la CNIL de ce problème le 13 janvier, la société Web Éditions est revenue trois jours plus tard vers l’autorité administrative, indiquant que le site « www.formalite-acte-de-naissance.org » avait été modifié et que d'autres mesures correctrices allaient être déployées dans la foulée sur ses autres sites.

Pour parer à ce problème, Web Éditions s’est résolue à utiliser un cookie fourni par le cadre applicatif CAKEPHP. Ce « cookie de session », contenant un identifiant unique, est désormais déposé sur l’équipement terminal de l’utilisateur afin de « s’assurer que la personne souhaitant accéder à une demande pré-enregistrée sur l’un des sites gérés par la société est bien celle qui est à l’origine de la démarche administrative », indique la Commission.

Le problème aurait facilement pu être évité, estime la CNIL

Si la CNIL reconnaît la rapidité à laquelle la société a posé cette « rustine », l’institution n’en demeure pas moins très critique de son comportement global. La gardienne des données personnelles retient tout particulièrement que « les mesures élémentaires de sécurité n’ont pas été prises par la société ».

Et pour cause : il s’avère que Web Éditions « disposait, dès l’origine, du dispositif permettant d’assurer la sécurisation des données à caractère personnel des utilisateurs, mais n’a pas jugé utile d’y recourir. Elle était en effet en possession, avec le cadre applicatif CAKEPHP utilisé pour la création de ses sites internet, du cookie identifiant de session mis en place après l’alerte de la CNIL ».

Une solution « peu coûteuse », souligne l’institution, et dont le recours « ne représentait pas un effort disproportionné » puisqu’elle était « disponible dans l’outil utilisé pour la conception de ses sites internet ».

Une amende de 200 000 euros initialement envisagée

Au titre de ce manquement à l’obligation d’assurer la sécurité des données au titre de l’article 34 de la loi « Informatique et Libertés », le rapporteur de la CNIL proposait initialement d’infliger une sanction pécuniaire de 200 000 euros à Web Éditions (sachant que depuis l’entrée en vigueur de la loi Numérique, l’institution peut aller jusqu’à trois millions d’euros).

De par sa position d’intermédiaire entre les administrés et les services de l’État, la Commission estime que l’entreprise « ne pouvait s’abstenir (...) de placer la sécurisation des données à caractère personnel au cœur de ses préoccupations ».

Après des échanges écrits avec la société, qui soulignait qu’elle n’avait tiré aucun avantage de ce manquement à la loi et que sa coopération avait permis de rectifier rapidement le tir, la CNIL a finalement mis un peu d’eau dans son vin. Il fut au passage difficile de déterminer avec exactitude le nombre de personnes exposées par cette « fuite ». L’autorité administrative retient à cet égard qu’un « nombre important d’utilisateurs, mais aussi de tiers visés dans les formulaires, ont été concernés par l’incident de sécurité ».

Web Éditions, qui craignait pour son avenir économique, a finalement écopé d’une sanction pécuniaire de 25 000 euros. Celle-ci a été rendue publique hier, « au regard du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes quant au risque pesant sur la sécurité de leurs données ».

10
Avatar de l'auteur

Écrit par Xavier Berne

Tiens, en parlant de ça :

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Et bonne nuit les petits

00:04 Next 7
dessin de Flock

#Flock distribue des mandales tous azimuts

13:40 Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

11:47 Next 36

Sommaire de l'article

Introduction

Une simple modification d’URL permettait d'accéder aux données d’autres utilisateurs

Réaction sous trois jours

Le problème aurait facilement pu être évité, estime la CNIL

Une amende de 200 000 euros initialement envisagée

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 7
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 36
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 21

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 37
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 20
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 17

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 78

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 24
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 103
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 7

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (10)


Monmon34
Le 23/11/2017 à 13h08

La CNIL, sourde d’oreille quand on l’interpelle sur des sujets sensibles concernant la gestion de nos données par le gouvernement mais n’hésite pas à flinguer une société qui pourtant a réagi rapidement. En quoi la société est responsable si le développeur est une tanche ?


Shadowman_2k3 Abonné
Le 23/11/2017 à 13h17

“En quoi la société est responsable si le développeur est une tanche ?”
Sérieusement ?

C’est le cœur de métier de la société de faire un site web, tu gères des données utilisateurs en lien avec des administrations public, la moindre des choses c’est de faire un petit audit de sécurité avant la MeP.
De plus le type sensé faire la recette du site web aurait pu faire ce test basique …

Vu la rapidité d’intervention, un développeur a déjà du remonter l’info au chef de projet : “C’est déjà en prod, on attend la remontée d’un user pour faire la modif, osef pas le temps”

Bingo c’est la CNIL qui remonte le bousin <img data-src=" />


PtiDidi Abonné
Le 23/11/2017 à 13h18






Monmon34 a écrit :

La CNIL, sourde d’oreille quand on l’interpelle sur des sujets sensibles concernant la gestion de nos données par le gouvernement mais n’hésite pas à flinguer une société qui pourtant a réagi rapidement.


Tu es médisant, la CNIL a formulé des critiques sur le fichier TES quand même! :)




Monmon34 a écrit :

En quoi la société est responsable si le développeur est une tanche ?


Une société n’est pas composé que d’un commercial et d’un mauvais developpeur.
Un chef de projet, un testeur, quelqu’un qui s’interesse à la sécurité n’est pas dispensable quand tu gères des informations sensibles



uzak
Le 23/11/2017 à 14h17






Monmon34 a écrit :

En quoi la société est responsable si le développeur est une tanche ?


Sérieusement ?
C’est comme si t’achetais une voiture neuve dont les freins ne fonctionnent pas : En quoi Renault est responsable si ses concepteurs sont des tanches ?



gavroche69 Abonné
Le 23/11/2017 à 14h32

Il me semble quand même qu’une entreprise quelle qu’elle soit est censée être responsable de ce qui s’y passe et donc des compétences de ses employés.

Si tu diriges un restaurant et que ton cuisinier fait des plats de merde tu auras forcément une part de responsabilité, en tous cas ça me paraît logique… <img data-src=" />


WereWindle
Le 23/11/2017 à 14h43

du coup, maintenant j’imagine Gordon Ramsay se pointer chez Web Éditions et leur balancer “La sécu de vos sites est tellement pas finie qu’Ubisoft a essayé de la publier ! <img data-src=" />”
<img data-src=" />


Shadowman_2k3 Abonné
Le 23/11/2017 à 14h44

ahaha Make My Day !


gavroche69 Abonné
Le 23/11/2017 à 14h56

Ça c’est un mélange des genres moi je donnais juste un exemple… <img data-src=" />

Cela dit je n’avais jamais entendu parler de ce Gordon Ramsay, il a fallu que j’aille voir sur Google pour savoir qui était ce type. <img data-src=" />


Jarodd Abonné
Le 23/11/2017 à 15h55

Tu préconises quoi, que l’amende soit payée par le développeur ? <img data-src=" /> Tu devrais relire ton contrat de travail pour comprendre les responsabilités et les liens de subordination.


jmm Abonné
Le 23/11/2017 à 17h25