La plateforme de location de véhicules entre particuliers OuiCar.fr a été sanctionnée par la CNIL. Pour être tenue responsable d’une violation de données personnelles concernant « plusieurs centaines de milliers de personnes », elle écope d’un avertissement public, même si sa bonne foi a été reconnue.
Tout est parti d’une alerte de Zataz.fr en juillet 2016. Nos confrères avaient pris soin de prévenir la CNIL d’une faille sur le site OuiCar.fr. En modifiant les variables sur des URL du site, on pouvait accéder à quantité de données personnelles.
La Commission a procédé à plusieurs contrôles en ligne et sur place pour détailler le mode opératoire. Ainsi, avec l’URL https://www.OuiCar.fr/api/car/search?dpt=75, il était possible d’avoir « accès à une liste des données des véhicules proposés à la location en Ile de France par le site www.ouicar.fr , ainsi qu’aux données de leurs propriétaires et des locataires ayant déposé un ou des avis sur la prestation offerte ». Marque, modèle du véhicule, nom, prénom, adresse postale, téléphone fixe ou portable, date de naissance, numéro de permis de conduire et date d’obtention du permis du propriétaire du véhicule, la localisation géographique des voitures, nom, prénom et identifiant de l’auteur du commentaire…
Des variables bavardes dans des URL
En modifiant le numéro « dpt », on pouvait également reproduire cette consultation pour l’ensemble des départements, excepté Saint-Pierre-et-Miquelon. La CNIL a alors « eu accès à une liste comportant les noms et prénoms de tous les propriétaires et locataires d’un véhicule proposé à la location au moment de la recherche, associés dans la plupart des hypothèses à leur adresse, numéro de téléphone fixe et/ou portable et à la localisation de leurs véhicules, soit aux données de 52 505 personnes ». Ce n’est pas tout, puisqu’en jouant cette fois sur la variable finale de https://www.ouicar.fr/api/v1/user/get?id=****, elle a pu accéder aux données de n’importe quel utilisateur.
Après avoir pris contact avec la société en août 2016, la CNIL a effectué de nouvelles vérifications pour constater cette fois que « la saisie des URL litigieuses dans la barre du navigateur ne permettait plus d’accéder à des données à caractère personnel ». Malgré tout la Commission a prolongé l’instruction.
Zataz n’est pas un lanceur d’alerte selon OuiCar
Au fil de celle-ci, OuiCar a tenté – vainement - de réclamer un huis clos, mais a surtout essayé de relativiser la gravité de ces problèmes. Elle a exposé, selon le résumé fait par la Commission, que « la violation de données résulte d’une simple erreur de code, qui est très répandue et qui n’a causé aucune atteinte à la vie privée des personnes concernées ».
Elle a par ailleurs considéré que la vérification effectuée par Zataz était frauduleuse, dès lors que notre confrère n’avait pas le statut protecteur des lanceurs d’alerte… De plus, elle assure avoir tout mis en œuvre pour assurer la protection des données, au titre d’une obligation de moyen. Enfin, les rustines nécessaires ont été apposées dès la révélation de la violation de données.
Défaut de mesures élémentaires de sécurité
La CNIL a balayé cette défense : le statut de Zataz est sans incidence sur les constats effectués par ses enquêteurs. Elle reproche avant tout à OuiCar de ne pas avoir pris en amont « les mesures élémentaires de sécurité », même si elle relève la bonne foi de la société « qui a réagi immédiatement après la révélation de la violation de données ».
La formation restreinte de la CNIL considère surtout que la société « aurait dû mettre en place un processus d’authentification permettant de restreindre l’accès aux résultats affichés par les API (interfaces de programmation applicatives, ndlr) ». De plus, « la violation de données aurait pu être réduite si la société avait veillé à n’intégrer dans les réponses des API que les seules données strictement nécessaires à l’affichage de son site web ». Une telle solution « aurait notamment permis de ne révéler que la première lettre du nom patronymique des utilisateurs et non l’intégralité de ce dernier ».
Pour justifier sa sanction, un avertissement public pour ne pas avoir appliqué les précautions utiles, elle s’appuie sur l’ampleur de l’incident et sa durée. « Les données à caractère personnel sont restées librement accessibles pendant près de trois ans puisque les API se trouvant à l’origine de la violation de données ont été mises en production entre juillet 2012 et novembre 2013. La résolution de la violation de données date, quant à elle, d’août 2016 ».
Une décision rendue anonyme dans deux ans
Remarquons que la délibération de la CNIL devra être rendue anonyme à l’expiration d’un délai de deux ans à compter de sa publication. Cette borne temporelle a été imposée, et d’une certaine manière calibrée par le Conseil d’État dans un autre dossier, celui visant Optical Center sanctionné cette fois d’une amende de 50 000 euros. Notons enfin que l’avertissement public infligé à OuiCar.fr pourra être attaqué par l’entreprise devant le Conseil d’État, sachant que l’article 34 de la loi de 1978 indique que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Commentaires (22)
#1
excepté Saint-Pierre-et-Miquelon
Il va falloir qu’on me l’explique celle-là " />
#2
#3
Zataz n’est pas un lanceur d’alerte selon OuiCar
Au fil de celle-ci, OuiCar a tenté – vainement - de réclamer un huis clos, mais a surtout essayé de relativiser la gravité de ces problèmes. Elle a exposé, selon le résumé fait par la Commission, que « la violation de données résulte d’une simple erreur de code, qui est très répandue et qui n’a causé aucune atteinte à la vie privée des personnes concernées ».
Elle a par ailleurs considéré que la vérification effectuée par Zataz était frauduleuse, dès lors que notre confrère n’avait pas me statut protecteur des lanceurs d’alerte… De plus, elle assure avoir tout mis en œuvre pour assurer la protection des données, au titre d’une obligation de moyen. Enfin, les rustines nécessaires ont été apposées dès la révélation de la violation de données.
Quel foutage de gueule “simple erreur de code très répandue”
Le viol de données personnelles à grande échelle par stupidité et/ou incompétence et/ou je-m’en-foutisme devrait relever du pénal, avec la mauvaise foi comme circonstance aggravante
Ca les calmerait
#4
« la violation de données résulte d’une simple erreur de code qui est très répandue (…) .
Oui, très répandue sur les applications monolithiques où c’est l’interface graphique qui “blinde” l’accès aux fonctions. Mais là, on parle de client/serveur…
#5
975 le numéro de département, sûrement le manque de rentabilité pour être là-haut." />
Il y à quasiment un véhicule par habitant.
#6
https://www.developpez.com/actu/151264/Hongrie-un-jeune-de-18-ans-arrete-apres-avoir-signale-une-faille-dans-le-systeme-de-vente-de-billets-en-ligne-d-une-compagnie-de-transport-public/
#7
:O
#8
C’est un peu pénible le copier coller des articles, si je veux tester l’URL cest la mouise, il me sélectionne la moitié du texte de l’article en disant “Une erreur ? “
#9
traduction : “c’est bon on a fait de la merde mais d’autres font pareil alors arrêter de nous casser les couilles et aller faire chier d’autres et puis zataz c’est des gros cons”
#10
Options → Options d’affichage → Signalement d’erreur contextuel : Désactivé. " />
#11
C’est un peu bizarre de toujours recevoir un “ok” sur ces URL, plutôt qu’un vrai code “unauthorized”. Ça sent la rustine à l’arrache.
#12
Un avertissement public, la bonne affaire… pourquoi pas “un regard lourd de reproches” … sérieusement, vivement le RGPD, qu’on puisse un peu mieux punir les acteurs qui n’en ont rien à foutre de la sécurité.
On ne peut même pas parler de faille ici, mais juste d’une non-sécurité, d’un dédain complet pour le sujet, ça mérite une vrai sanction financière, ou une fermeture du site en bonne et due forme avec comme raison formelle ‘trop con pour être sur internet’
#13
On ne peut même pas parler de faille ici, mais juste d’une non-sécurité
Ce n’est pas une excuse (mais juste une non-justification).
#14
Et non, toujours le meme problème, je sélectionne un extrait de ligne et BIM, tout le texte se trouvant après ma sélection est aussi sélectionné.
j’ai testé avec chrome et ce bug est lié à IE .. (Oui je sais mais pas le choix :( )
#15
C’est juste le b-a ba de la sécurité de ne pas faire n’importe quoi avec les paramètres d’url ! Avec mon petit niveau de formation et sur mes petits projets je ne ferais jamais une erreur aussi grossière. Je n’oserais même pas faire ça en prototypage ! Alors comment ces grosses boîtes, avec tous les intervenants hautement diplomés, les validations, les chartes de qualité que ça suppose arrivent à se planter à ce point ?
#16
#17
Mais il ne devrait même pas avoir besoin de consacrer un budget en sécurité ou de gérer une dette technique pour ce genre de failles puisqu’elles ne devraient absolument pas y être à la livraison de l’appli. C’est un minimum syndical que de ne pas créer des trous aussi béants dans ses URL.
C’est comme si un charpentier montait une toiture sans les contrefiches en prétextant qu’il n’avait le budget ou pas le temps pour le faire.
#18
Zataz a rendu l’info publique ou bien ça tout été secret?
On peut reprocher à Zataz de signaler à la CNIL des incompétents.
#19
#20
Et lorsque c’est pas une erreur ?
Genre oracle qui absorbe tout ce qu’il peut dans sont “bigdata cloud” (ces deux mot assembler me font bouillir) et revend les infos a n’importe qui ? (n’importe qui, qui a un portefeuille).
#21
Je t’ai envoyé un MP …
#22
La réponse de la CNIL relève du juste du bon sens, même si je trouve la sanction vraiment très légère par rapport à la faute. Il y avait clairement négligence. Ouicar aurait du se voir contrainte de communiquer auprès de ses clients sur cette faille béante.