Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Hertz, première société sanctionnée par la CNIL sous l’empire de la loi Lemaire

L’Hertz et le néant

Hertz, première société sanctionnée par la CNIL sous l’empire de la loi Lemaire

Le 28 juillet 2017 à 07h34

Après OuiCar.fr, averti publiquement hier par la CNIL, au tour de la société Hertz France d’être sanctionnée. Cette fois, plus d’avertissement, mais une sanction pécuniaire immédiate. Une modalité ouverte par la loi Lemaire sur la République numérique.

« C’est la première fois qu’une sanction pécuniaire est prononcée pour une violation de données sous l’empire de la loi pour une République numérique entrée en vigueur en novembre 2016. Avant cette loi, seul un avertissement pouvait être décidé dans un tel cas ». Voilà comment la Commission chargée de veiller au strict respect des données personnelles a présenté hier sa sanction visant Hertz France.

Comme pour OuiCar, c’est une alerte Zataz adressée à la CNIL qui a été à l’origine de cette décision. Le 15 octobre 2016, notre confrère alertait l’autorité d’une brèche à partir de l’URL http://www.cartereduction-hertz.com/create_carte_cb.aspx. La faille, indique la délibération, « permettrait une violation des données de plus de 40 000 clients de la société Hertz France ».

Un mode opératoire très simple

Le mode opératoire était simple : il suffisait d’ajouter, à l’adresse en question, la chaîne cartcb_id= suivie d’un numéro correspondant à un identifiant. Et là, le site fournissait sans broncher les données personnelles des clients bénéficiant d’un programme de réduction : nom et prénom, date de naissance, adresse postale, adresse de messagerie électronique et numéro de permis de conduire… « La délégation (de la CNIL, ndlr) a ainsi pu accéder aux données à caractère personnel de 35 327 personnes ».

Alertée, la société de location de véhicules a indiqué que cette partie avait été développée par un sous-traitant. « La violation de données avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs assurant l’interface avec le prestataire en charge des paiements » explique la délibération.

Hertz a eu beau expliquer que la brèche avait été colmatée quatre heures après le signalement, qu’elle a fait organiser un audit de sécurité, qu’aucun client ne s’est plaint de voir ses données éventées, qu’il n’y aucune trace de téléchargement massif, etc. rien n’y a fait.

Une société très réactive, mais négligente 

La Commission a dénoncé « une négligence (…) dans la surveillance des actions de son sous-traitant ». Et quelle négligence : Hertz ne lui a imposé aucun cahier des charges, de plus, le changement de serveur visait du matériel destiné à échanger avec le prestataire de paiement constituait « une opération délicate requérant une attention particulière ». Bref, pour l’autorité, « la société aurait dû s’assurer, à la suite de cette opération, que la mise en production du site avait été précédée d’un protocole complet de test afin de garantir l’absence de toute vulnérabilité ».

La sévérité apparente de la décision repose sur une stricte application de l’article 34 de la loi Informatiques et Libertés selon lequel le responsable du traitement doit « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Et le dispositif ne laisse pas d’échappatoire lorsque ledit responsable n’a pas pris les mesures préventives qui s’imposaient selon les règles de l’art.  

40 000 euros d'amende, aucun avertissement public

La société, qui a certes été très réactive, « n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées » conclut, la délibération. La CNIL au final lui inflige une sanction de 40 000 euros outre la publicité de sa décision, rendue nominative pour une durée de deux ans.

La Commission semble particulièrement agacée que de telles brèches puissent encore exister sur des sites de cette importance. Cette sanction est en tout cas consécutive à l’entrée en vigueur de la loi sur une République numérique. Depuis, comme signalé plus haut, la CNIL n’est plus obligée de passer par la voie d’un avertissement. Elle peut directement décider d’une sanction. Voilà pourquoi hier, Ouicar a écopé d’un tel avertissement pour des faits antérieurs à la loi du 7 octobre 2016, et que Hertz est directement sanctionné sur l’autel de ces nouvelles dispositions. 

Commentaires (69)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Oui tout dépend de la société. Je connais des petites sociétés qui ont du mal à joindre les deux bouts et pourtant une base client énorme (surement moins que Hertz, mais c’est supérieur à 100k utilisateurs).  Une négligence est toujours possible, seulement une amende comme ça, la société coule.



Autre exemple : Un webmaster à son compte, qui créé un petit site de rencontre. Le site lui ramène 100€/mois. Comment il fait ?

votre avatar

S’ils ne savent pas respecter la Loi, ils ne font pas. C’est simple, non ?

votre avatar

Mouais.. Ca en fout un coup à la liberté d’entreprendre s’il faut un avocat dans chaque startup..

votre avatar

Les dealers disent la même chose. En plus, ils ne violent pas la vie privée de leurs clients, eux.

votre avatar

Font sous traiter par des jeunes qui ne font pas l’apéro maintenant

votre avatar







DoudouMoii a écrit :



Autre exemple : Un webmaster à son compte, qui créé un petit site de rencontre. Le site lui ramène 100€/mois. Comment il fait ?





D’un il a peu de chance de se faire repérer par la CNIL ou autre si c’est un petit site. De deux, la sanction à l’air proche des 1€ par données d’un client (dans la news 40000 comptes, 40000€), donc son site à 100 comptes, ben 100€ d’amende. De trois, un mec seul ne va pas poursuivre en justice quelqu’un qui lui trouve un bug et qui le prévient, les grosses sociétés aiment bien par contre. Donc il se fera pas “dénoncer” à la CNIL a priori, mais aider par celui qui trouve le bug.


votre avatar







Charly32 a écrit :



Bon après ça méritait pas forcément plus, ils ont été réactifs à colmater.









  • Oui monsieur le juge, j’ai tiré sur cet homme, j’avoue…. Mais je lui ai fais un garreau immédiatement.

  • Oui ok, bon ça va pour cette fois.


votre avatar







Zulgrib a écrit :



Font sous traiter par des jeunes qui ne font pas l’apéro maintenant







Il n’y a plus de jeunesse…; <img data-src=" />


votre avatar







Firefly’ a écrit :



ça me fait penser à Ricard ( ou pastis ) qui s’y étaient repris à 3 fois pour sécuriser leur données clients y as quelque année, pas de la mauvaise foi, mais pas très malins :/





<img data-src=" /> Je suis innocent. En plus, ce jour là, j’étais à la piscine. J’ai des témoins.<img data-src=" />


votre avatar

En droit pénal, il existe un principe de proportionnalité des peines. Le but d’une amende n’est pas de provoquer des faillites ou du surendettement, fort heureusement.

&nbsp;

« En droit pénal

&nbsp;Le

principe de proportionnalité implique que la peine prononcée soit

fonction de la gravité de l’infraction, de la situation du délinquant et

de ses capacités de réinsertion (cf. article 130-1 du code pénal) »

&nbsp;

&nbspfr.wikipedia.org Wikipedia

votre avatar

Même problème que OuiCar.fr et que beaucoup de projet web:



On assimile le client web comme l’interface graphique et le serveur web au contrôleur/modèle.

Et, bien sur, on finit par déporter une partie des fonctions (dont la sécurité) coté interface graphique.



:-/

votre avatar

pas de panique la marge des manoeuvre des autorités de protection des données va considérablement augmenter d’ici à mai 2018 en termes de sanctions.



En plus, il est probable qu’ils ont tenu compte de la situation (négligence grossière vs pas de leaks, de plaintes, réactivité et autre) avant de sanctionner.



Concernant l’expérience utilisateur, c’est un peu le fonds du problème: on vend notamment dans les objets connectés dépourvus de sécurité parce que ça pourrait faire perdre un peu de temps de configuration à l’utilisateur.

Mais c’est bien sûr une question d’équilibre et la loi le reconnaît. Les exigences diffèrent en fonction du risque.

votre avatar







Righall a écrit :



Aïe, 40 KHertz, y a des oreilles qui vont sifflées…



<img data-src=" />





On est dans les ultrasons, l’oreille ne l’entend pas.


votre avatar

L’exigence dépend de l’activité (sensibilité des données) et pour certaines choses de la taille de la boite.



Si tu développe un truc qui va faire des trucs très risqués avec des données très sensibles, il est pas idiot de faire appel à un spécialiste de la protection des données dans ta boite.



Si tu traite des données pas trop sensibles et que tu traite pas trop de données, on n’exige pas de toi d’appeler un spécialiste.



&nbsp;

votre avatar







Ricard a écrit :





  • Oui monsieur le juge, j’ai tiré sur cet homme, j’avoue…. Mais je lui ai fais un garreau immédiatement.



    • Oui ok, bon ça va pour cette fois.









      Ah oui d’accord…



votre avatar

Pas sur que Zataz est lui même découvert la faille.



Souvent on le lui signale, il confirme et sert de relais/tampon avec les autorités.



Comme il connaît bien son sujet, surtout la partie judiciaire, il sait contrer les attaques à 2 balles des avocats.

votre avatar

“&nbsp;La violation de données avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs&nbsp;”&nbsp; gné? <img data-src=" />&nbsp;

votre avatar

Comment supprime t’on une ligne de code en changeant de serveur :/



Etant du métier, cela me laisse perplexe !



D’autant p^lus que aspx indique asp.net donc pour moitié compilé voir plus…

votre avatar

“pu accéder aux données à caractère personnel de 35 327 personnes ».”



j’espère qu’ils ont automatisé le test <img data-src=" />

votre avatar

Pas de cdc au sous traitant !!!!

votre avatar

Ah je ne suis pas le seul à ne pas comprendre cette phrase de la suppression de la ligne <img data-src=" />



En tout cas ils ne choment pas à la CNIL. Comme quoi c’est vraiment une question de moyens…

votre avatar

Et encore, la CNIL n’a pas encore commencé à s’attaquer aux problématiques de failles XSS. J’attends impatiement l’injection SQL permettant de récupérer l’intégralité d’une bdd avec un simple champ saisissable.



Par contre je trouve encore la sanction trop faible, 40k euros c’est rien du tout. La sécurité, ça coûte cher (et encore) et si les têtes pensantes jugent le risque coût/bénéfice, ils seraient capable de la porte ouverte avec les clefs sur la porte dès fois que.



Personellement, je pense que la sécurité ne doit pas être négligé mais il ne faut pas non plus trop en faire au risque de détériorer les performances, ou nuire à l’expérience utilisateur (limitation “sécuritaire” empếchant les personnes de faire leur boulot).

votre avatar







Alameda a écrit :



Par contre je trouve encore la sanction trop faible, 40k euros c’est rien du tout. La sécurité, ça coûte cher (et encore) et si les têtes pensantes jugent le risque coût/bénéfice, ils seraient capable de la porte ouverte avec les clefs sur la porte dès fois que.





Ils ont fait de la merde, mais ils ont réagit vite.

Gardons les grosses amendes pour ceux qui font preuve de mauvaise foi ou qui recommencent.


votre avatar







Alameda a écrit :



Par contre je trouve encore la sanction trop faible, 40k euros c’est rien du tout.





C’est clair, ça doit être environ 4x ce que je leur ai lâche cette année…

Bon après ça méritait pas forcément plus, ils ont été réactifs à colmater.


votre avatar

Ce sont peut être des radiations cosmiques qui on changé un bit, passant du mode prod au mode debug ?

Y’en a bien un qui va la sortir un jour.

votre avatar

Ont ils signalé ce traitement automatisé à leurs propres services <img data-src=" /> <img data-src=" />

votre avatar

Hypothèse : ils ont pas repris le bonne version de leurs dépôt (Git, svn etc…) sur le nouveau serveur.

votre avatar

C’est faible surtout pour un boîte comme Hertz, mais il faut bien voir quand même que la faille a été corrigé 4h après le signalement..

Trouver comment corriger, faire le build, tester la correction, faire le process de release ne sont pas des choses anodines, 4h je leur tire mon chapeau perso.



En revanche j’ai pas compris pourquoi OuiCar avait eu un simple avertissement et Hertz une amende..



edit : Ok, c’est une question de date mais :




  • OuiCar le 7 octobre

  • Hertz le 15 octobre

  • la loi en novembre



    Pourquoi pas le même traitement?

votre avatar







Nicky5 a écrit :



Comment supprime t’on une ligne de code en changeant de serveur :/



Etant du métier, cela me laisse perplexe !



D’autant p^lus que aspx indique asp.net donc pour moitié compilé voir plus…









Jarodd a écrit :



Ah je ne suis pas le seul à ne pas comprendre cette phrase de la suppression de la ligne <img data-src=" />



En tout cas ils ne choment pas à la CNIL. Comme quoi c’est vraiment une question de moyens…







Pfff on voit que vous avez jamais fait de changement de serveur.

Il faut une armée de stagiaires qui tape à la main les fichiers de l’ancien serveur dans le nouveau serveur pour éviter de transférer des virus et inspecter le code en même temps.



<img data-src=" />


votre avatar

Je trouve que la sanction devrait servir aussi à récompenser Zataz et la personne qui a signalé la faille. Si ceux qui se font prendre sont pas contents, ils n’ont qu’à organiser un bug bounty ou un système de contact pour signaler une faille sur leur site, qui n’engage pas de poursuites et est même récompensé pécuniairement ou en nature.

votre avatar

Aïe, 40 KHertz, y a des oreilles qui vont sifflées…



<img data-src=" />

votre avatar

ça me fait penser à Ricard ( ou pastis ) qui s’y étaient repris à 3 fois pour sécuriser leur données clients y as quelque année, pas de la mauvaise foi, mais pas très malins :/

votre avatar

Et des yeux vont saigner…

votre avatar

Tes marant, t’as déjà essayé de corriger des bugs après l’apéro? :)

votre avatar







jb18v a écrit :



“pu accéder aux données à caractère personnel de 35 327 personnes ».”



j’espère qu’ils ont automatisé le test <img data-src=" />





Et que ça n’a pas mis le site HS: “Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 75000 euros d’amende.”&nbsp;


votre avatar

Oups… Congés ce soir, j’en oublie les bases. Je laisse pour la postérité.



Pour tes yeux, quelques gouttes et ça ira mieux <img data-src=" />



<img data-src=" />

votre avatar

Bonne question.



J’ai jamais hébergé de l’ASP donc je peux pas me prononcer sur ce cas là, mais voilà un exemple qui pourrait avoir le même effet sur un hébergement avec Nginx:




  • Sur serveur A, l’appli web est protégée par une vérification via un script, du style access_by_lua_file /usr/app/protect_access.lua

  • Lors de la migration, sur le serveur B la conf du site pour nginx est recrée mais cette ligne est oubliée

  • Le serveur B permet maintenant d’accéder à l’app de manière totalement ouverte.



    C’est débile, mais il suffisait d’enlever cette ligne pour casser la sécurité.

    Maintenant imagine que la migration de serveur incluait aussi de changer l’environnement, et c’est encore plus simple de se chier pour re-créer les configs équivalentes.

votre avatar







jacklejack a écrit :



Bonne question.



J’ai jamais hébergé de l’ASP donc je peux pas me prononcer sur ce cas là, mais voilà un exemple qui pourrait avoir le même effet sur un hébergement avec Nginx:




  • Sur serveur A, l’appli web est protégée par une vérification via un script, du style access_by_lua_file /usr/app/protect_access.lua

  • Lors de la migration, sur le serveur B la conf du site pour nginx est recrée mais cette ligne est oubliée

  • Le serveur B permet maintenant d’accéder à l’app de manière totalement ouverte.



    C’est débile, mais il suffisait d’enlever cette ligne pour casser la sécurité.

    Maintenant imagine que la migration de serveur incluait aussi de changer l’environnement, et c’est encore plus simple de se chier pour re-créer les configs équivalentes.





    Pour éviter ce genre de choses normalement on doit avoir des process et des tests dans un environnement de préprod. Pour certains dev/admin sys, tester c’est douter <img data-src=" />

    &nbsp;

    Fin bon je dis ca, je dis rien, il faut voir le contrat passé entre les deux entreprises.

    &nbsp;





    PtiDidi a écrit :



    Mouais.. Ca en fout un coup à la liberté d’entreprendre s’il faut un avocat dans chaque startup..





    C’est l’une des grosses questions que je me pose.

    Aujourd’hui si tu veux créer un site web grand public pour être sûr de respecter la loi, tu fais auditer ton site et tu payes un bras, ca demande très vite de gros moyens.


votre avatar

J’avais fait fermer un site de la société générale il y a quelques années, en contactant la sogé directement ils se sont foutus de ma gueule avec des explications à la con (je suis client en +). J’ai menacé de contacter la cnil et j’ai contacté zataz qui a fait un article, quelques jours après le site a fermé définitivement…



En général, plus la boite est grosse et plus elle est de mauvaise foi… et l’argument de c’est pas moi c’est le presta, maintenant ça ne tient plus, merci la cnil (et l’Europe) !

votre avatar

Ça se tient :)



Mais là on part du coup du principe que la sécurité est gérée coté système et pas coté code api pure.



Je préférerais faire les 2 perso :/



Mais je rebondis quand même sur l’explication qui parle de la suppression d’une ligne et pas de son oublie et j’ai une autre interrogation : en quoi un prestataire de paiement à besoin de toutes ses infos et surtout en règle générale (arrêtez mois si je me trompe) mais dans le cas d’échanges sensibles ont ne passe pas par un flux sécurisé et dédié (ssl, etc…)

votre avatar

Oui, pas besoin d’avoir l’acréditation PCI/DSS pour tout est n’importe quoi (et heureusement..)



Il faut faire gaffe à la sécurité, mais tu ne peux pas engager un pentester dès les premières versions de ton produit.

Dire “il faut connaitre la loi sinon on ne fait pas”, je trouve ca con..

votre avatar







Joe Le Boulet a écrit :



C’est l’une des grosses questions que je me pose.

Aujourd’hui si tu veux créer un site web grand public pour être sûr de respecter la loi, tu fais auditer ton site et tu payes un bras, ca demande très vite de gros moyens.





Ben ouais, 5-10k€ et le gars te sort ce qu’il a trouvé donc pas tout.

S’il passe à côté de cette faille très conne, tu es toujours autant vulnérable..


votre avatar

bah la loi attend de toi que justement tu prenne en considération les questions de vie privée et de sécurité dès la conception même du produit.



Au fonds c’est comme celui qui fait des grille pains: il doit s’assurer que ceux-ci respectent les normes anti-incendie, court circuit ou autre avant de commercialiser. C’est pareil au fonds pour les données personnelles et c’est pas plus mal.



Par contre, bien sûr qu’il faut connaître la loi avant de faire puisque c’est elle qui définit quels sont les caractéristiques auxquelles tu dois répondre à la base. C’est aussi important que de connaître le marché et les possibilité de commercialisation, l’état de la technique ou les compétences nécessaires à la production. ça fait partie d’un tout, et pour chacun de ces éléments, le fait de les prendre à la légère ramène bien souvent à la faillite.



Ceci-dit, c’est vrai que c’est souvent pas évident de tout associer du fait de la multidisciplinarité requise, mais c’est absolument nécessaire.

votre avatar

En même temps la plus grosse peine c’est plutôt le déficit d’image que l’amende en elle-même.



Mais c’est vrai que pour une grosse boite ça se fait pas trop, à partir d’un certain seuil on doit quand même avoir des protocoles de tests/recettes&nbsp; :(

votre avatar

L’alerte de Zataz sur OuiCar.fr est parti en Juillet 2016.

Le 7 octobre 2016 c’est la promulgation de la loi Lemaire.

votre avatar

Ha oui merci,



Le 7 octobre, c’est la promulgation,

En novembre, c’est l’entrée en vigueur de la République Numérique <img data-src=" />

votre avatar

Ok mais tu peux toujours avoir des failles quelque part quelque soit la minutie avec laquelle tu bosses.

Et en l’occurence, Hertz ne semble pas avoir été de mauvaise foi et a blindé le truc sans tarder.



Pour faire un parallèle avec le fabricant de grille-pain, Samsung a-t-il eu une amende pour ses smartphone qui prenait feu à cause des batteries?

votre avatar

Pour le déficit d’image, encore faudrait-il en entendre parler ailleurs que dans les médias spécialisés…



Vu que les 34 des gens ne s’informent qu’avec la télé, c’est pas près d’avoir un INpact non-négligeable.

votre avatar







PtiDidi a écrit :



Ha oui merci,



Le 7 octobre, c’est la promulgation,

En novembre, c’est l’entrée en vigueur de la République Numérique <img data-src=" />







  1. A défaut d’un article qui reporte l’application d’un loi, elle l’est le lendemain de sa publication au JO.&nbsp; Ici, la loi est promulguée le 7 octobre, publiée le 8, applicable à partir du 9 octobre. Pourquoi novembre ?



  2. @ joma74fr : CNIL =&nbsp; police administrative spéciale . Le droit pénal ne s’applique pas devant la Commission, ni le code de procédure pénale. C’est pourquoi, en droit,&nbsp; elle ne prononce pas d’amende, mais des sanctions pécuniaires, selon l’expression consacrée.


votre avatar







Jonath a écrit :



Pour le déficit d’image, encore faudrait-il en entendre parler ailleurs que dans les médias spécialisés…



Vu que les 34 des gens ne s’informent qu’avec la télé, c’est pas près d’avoir un INpact non-négligeable.





Tu serais étonné de l’écho que ça peut trouver pour peu qu’un site qui en parle finisse dans la première page des résultats google…



Et certains journaux font aussi des articles sur les fuites de données personnelles, même si c’est rare.&nbsp;


votre avatar

Ils ont obligation de publier la condamnation pendant 2 ans





La CNIL au final lui inflige une sanction de 40 000 euros outre la publicité de sa décision, rendue nominative pour une durée de deux ans.





<img data-src=" />

votre avatar







Nicky5 a écrit :



Comment supprime t’on une ligne de code en changeant de serveur :/



Etant du métier, cela me laisse perplexe !



D’autant p^lus que aspx indique asp.net donc pour moitié compilé voir plus…





C’est l’implémentation de SEGWIT2 qui a posé problème.


votre avatar

tu es certain de ton interpretation?

je le prends plus comme le fait que la décision de la CNIL est publique et fait expressément référence à la société pendant 2 ans (après on trouvera toujours une trace de sanction de 40k mais sans savoir à qui ^^).



(je ne suis pas expert en droit, donc je peux très bien me tromper ^^)

votre avatar







grosbidule a écrit :



Ce sont peut être des radiations cosmiques qui on changé un bit, passant du mode prod au mode debug ?

Y’en a bien un qui va la sortir un jour.





Il y a déjà eut un prob de rayon cosmiques lors d’un vote en Belgique, il y avait plus de voix pour une personne que de personne dans la commune

&nbsp;





zethoun a écrit :



tu es certain de ton interpretation?

je le prends plus comme le fait que la décision de la CNIL est publique et fait expressément référence à la société pendant 2 ans (après on trouvera toujours une trace de sanction de 40k mais sans savoir à qui ^^).



(je ne suis pas expert en droit, donc je peux très bien me tromper ^^)







La CNIL va indiquer le nom de l’entreprise sur son site durant 2 ans, puis après ça sera “une entreprise à été condamnée a “


votre avatar







zethoun a écrit :



tu es certain de ton interpretation?

je le prends plus comme le fait que la décision de la CNIL est publique et fait expressément référence à la société pendant 2 ans (après on trouvera toujours une trace de sanction de 40k mais sans savoir à qui ^^).



(je ne suis pas expert en droit, donc je peux très bien me tromper ^^)







C’est aussi une facon de lire l’info en effet, mea culpa.



Après la CNIL a déjà condamné des sociétés à afficher publiquement leur décision (cas de TF1 lors du vote de la loi HADOPI par exemple où il avait été contraint de lire un texte lors du JT)


votre avatar







Dj a écrit :



La CNIL va indiquer le nom de l’entreprise sur son site durant 2 ans, puis après ça sera “une entreprise à été condamnée a ”







ah ok, du coup j’ai fait une erreur, dsl.

Bah pour le coup ça va effectivement avoir peu d’impact sur leur image … <img data-src=" />


votre avatar







Ricard a écrit :



<img data-src=" /> Je suis innocent. En plus, ce jour là, j’étais à la piscine. J’ai des témoins.<img data-src=" />



Etrangement, eux disent ne pas t’avoir vu… <img data-src=" />


votre avatar







Patch a écrit :



Etrangement, eux disent ne pas t’avoir vu bu… <img data-src=" />





<img data-src=" />


votre avatar

Jurinord t’a répondu sur l’aspect code pénal non applicable ici.



Mais que voulait dire ton intervention ? Tu penses qu’une entreprise qui ne sait pas gérer la sécurité des données privée et qui a peu d’argent est donc exemptée de respecter la Loi informatique et libertés ainsi que les réglementation européennes quitte à laisser fuiter ces données ? C’est normal, monsieur le juge, ils ne sont pas très doués et n’ont pas les moyens de se payer des spécialistes en sécurité. Tu crois qu’un tel discours avec l’importance qu’a pris la protection des données privées à juste raison peut passer ?

Le cas dont on discute montre que non, et c’est tant mieux.

votre avatar







Dj a écrit :



Il y a déjà eut un prob de rayon cosmiques lors d’un vote en Belgique, il y avait plus de voix pour une personne que de personne dans la commune

&nbsp;



&nbsp;

Ce qui n’est absolument pas une excuse d’ailleurs : le problème de radiation est connue en aéronautique et en spatiale, et des moyens existent pour détecter /limiter la portée.



Ensuite: on peut se protéger de tout, mais à quel coup ?



Enfin je trouve que c’est quand même un peu fort de café que la cnil inflige une amende. Pour rappel, dans les années antérieures, la cnil étaient saisie près de 6000 fois, pour au final délivrer moins de 15 “peines” (affichage, avertissement ou sanction pécuniaire).

Il y a suffisament de site qui s’en fiche royalement des remontées d’alertes pour qu’elles se concentrent sur eux que sur ceux qui merdent mais essaient de réparer quand on leur dit….



Enfin bref, ca va pousser l’usage de WAF ce genre de condamnation:)


votre avatar

Si c’était comme tu le racontes, alors il n’aurait pas essayé de résoudre le problème avant d’avoir eu l’amende ou l’avertissement.



Honnêtement, un mtbr de 4h sur une erreur comme ça, ils sont plutôt dans les bon élèves que les mauvais.



Il y a suffisament de cas complètement merdique que la cnil pourrait s’amuser à aligner (ou les gens savent qu’ils ont un problèmes de sécurité mais ne font rien) pour que la “proportionnalitée” de la sanction soit respecté.



Quant à Jonas, même si sa source n’est pas bonne, la proportionnalitée est un principe de base du droit. Il est explicite en droit pénal, mais implicite dans l’ensemble du droit français (c’est d’ailleurs une mamelle du droit constitutionnel, souvent utilisé pour autorisée ou pas une loi . Bref, ce n’est pas juste à jeter en dehors du droit pénal, comme le montre par exemple ce type d’ouvrage&nbsp;https://www.cairn.info/revue-francaise-de-droit-constitutionnel-2007-2-page-269…. )

&nbsp;

votre avatar

Remonte les messages (jusqu’au #22)pour voir pourquoi je réponds comme cela. Je ne parlais pas d’Hertz.



Mais, il va falloir que les sociétés comprennent que la sécurité, ce n’est plus en option mais de base pour ce qui concerne les données personnelles. C’est comme cela maintenant et il va falloir qu’elles s’y plient et montre qu’elles ont fait tout ce qu’il fallait en amont.



L’article 34 de la Loi en question date de 2004. Elles ont eu presque 13 ans pour le comprendre et l’appliquer.

Et maintenant, la CNIL peut sanctionner directement, ce qu’elle va faire manifestement. Avant, elle était obligée de se limiter à un avertissement la première fois.



Et de toute façon, il y a possibilité d’attaquer la décision voire de lancer une QPC si l’on pense que la constitution n’est pas respectée.

votre avatar

Je pense qu’on est tous d’accord pour dire qu’il y a d’énorme efforts à faire en sécurité, et qu’il faut que les entreprises arrêtes de voir comme un poste “une fois qu’on a un problème”.



&nbsp;Juste que je trouve dommage que couperet pour l’exemple soit tombé sur un type qui a quand même résolu le problème une fois “officiellement remonté”&nbsp; en 4h ;)



Edit : par contre j’attends l’exemple avec&nbsp; GDPR , parce que 10% du CA consolidé, même si c’est un presta qui héberge et fais le traitement, il pourrait y avoir quelques jolis feux d’artifice (sony? <img data-src=" /> )

votre avatar

WAF?



Qu’es-ce que c’est?

votre avatar

Web Application Filtering, c’est un reverse proxy qui va contrôler les paramètres et les valeurs fournient au site.

Il y a plusieurs modes d’utilisation, allant de la simple détection d’url foireuse (comme ../../../../etc/passwd)&nbsp; au controle en mode whitelist (tel page peut avoir que tel et tel paramètre, qui eux ne peuvent prendre que tel type de valeur).





Bien entendu, le mode whitelist demande un (bien plus) grand travail, et un suivi accru lors des mises à jour.

Mais le passage d’un paramètre “de debug” sera forcément bloqué car pas dans la règle ;)

votre avatar

Ça complexifie pas encore plus le bousin avec des risques sur la maintence et la sécurité?

Car plus on rajoute de briques, plus c’est difficile à maîtriser.

votre avatar







Ricard a écrit :



<img data-src=" />



En même tmeps de l’eau chlorée, c’est pas génial <img data-src=" />


votre avatar

Une solution WAF aurait-elle été moins chère que l’amende ? <img data-src=" /> telle est la question, qui ne se pose plus avec la RGPD&nbsp; : jusqu’à 20 millions € ou 4% du chiffres d’affaires annuel, la valeur la plus élevée sera retenue :ouch:

votre avatar

Non, on contraire ça apporte une couche de sécurité là où tes dev n’en ont pas apporté :/ pis bon ça ne fait pas que ça non plus <img data-src=" />



De toute façon tu en mets jamais un serveur d’application en frontale des clients, il faut toujours passer par un intermédiaire, c’est la règle ! :p en gros et en caricaturant ça donne :




  • VLAN pour les clients

  • VLAN DMZ pour ton reverse proxy / waf

  • VLAN pour les serveurs



    Et bien évidemment les clients sont obligés de pointer sur ton waf :) sinon ça sert à rien

Hertz, première société sanctionnée par la CNIL sous l’empire de la loi Lemaire

  • Un mode opératoire très simple

  • Une société très réactive, mais négligente 

  • 40 000 euros d'amende, aucun avertissement public

Fermer