Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

La CNIL inflige 500 000 euros d’amende à Brico Privé

La CNIL inflige 500 000 euros d’amende à Brico Privé

Le 21 juin 2021 à 08h14

Une sanction accompagnée de la publicité de cette décision. L’autorité reproche à l’éditeur de bricoprive.com plusieurs indélicatesses sur l’autel du sacro-saint RGPD.

Par exemple, les données de 130 000 personnes avaient été conservées plus de cinq ans après leur dernière connexion au compte client. La société avait également omis de mentionner plusieurs informations impératives comme les durées de conservation, les bases juridiques des traitements et certains droits. La mention du DPO n’apparaissait que dans un formulaire dédié aux désabonnements et désinscriptions.

La même société avait une approche très particulière du droit à l’effacement : « lors du contrôle du 13 novembre 2018, la délégation de contrôle a été informée que lorsqu’une personne demande l’effacement de son compte, la société ne supprime pas les données à caractère personnel mais procède uniquement à la désactivation du compte en question, empêchant la personne de s’y connecter et bloquant l’envoi de prospection commerciale ».

Sur le terrain de la sécurité, l’authentification lors de la création d’un compte « reposait sur un mot de passe composé uniquement de six caractères numériques, de type 123456 ». Quant à l’authentification des salariés aux bases de données, elle était « insuffisamment sécurisée en raison de la conservation des mots de passe permettant d’y accéder, en clair, dans un fichier texte contenu dans un ordinateur de la société ».

Brico Privé a tenté de se dépêtrer de cette mise en cause en avançant que la sécurisation n’était qu’une obligation de moyen, non de résultat.

La formation restreinte de la CNIL lui a répondu que « la longueur et la complexité d’un mot de passe demeurent des critères élémentaires permettant d’apprécier la force de celui-ci », outre que « la nécessité d’un mot de passe fort est également soulignée par l’Agence nationale de sécurité des systèmes d’information ».

Elle lui a rappelé que « le fait de stocker les mots de passe d’accès aux bases de données en clair dans un fichier texte contenu dans un ordinateur de la société n’est pas une solution de gestion sécurisée des mots de passe ». Et que « la fonction de hachage utilisée pour la conservation des mots de passe des salariés utilisateurs du site bricoprive.com était obsolète (MD5) ».

Autres indélicatesses, des cookies installés automatiquement lors de l’arrivée sur la page d’accueil ou des prospections commerciales adressées dès la création d’un compte.

« La société a fait preuve de négligence grave s’agissant de principes fondamentaux du RGPD puisque six manquements sont constitués, portant notamment sur le principe de limitation de la durée de conservation des données, l’obligation d’informer les personnes concernées des traitements de leurs données à caractère personnel et celle de respecter leurs droits » écrit la CNIL dans sa délibération.

Elle ajoute à l’amende administrative, une série d’injonctions puisque la société n’avait corrigé au fil de l’eau, qu’une partie des contrariétés dénoncées par la CNIL lors son contrôle.

Le 21 juin 2021 à 08h14

Commentaires (35)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

500 000 euros c’est le salaire d’un adminsys junior (région parisienne) pendant 10 ans. Personne qui aurait pu entretenir et sécuriser un peu mieux leur SI. J’espère que cette amende les fera un peu réfléchir !

votre avatar

Je ne suis pas du métier, mais je pense que quand tu parles de 500 000€ sur 10 ans pour un sysadmin junior c’est hors charges patronales (33 333€ brut annuel sur Paris ça me parait pas cher payé). Du coup on est plus sur du 750 000€ sur 10 ans, ils ont donc économisé 250 000€ dans l’affaire :D

votre avatar

L’idée était surtout de comparer le montant de l’amende avec un salaire sur plusieurs années pour un employé qui auraient mis les choses à plat.

votre avatar

J’aimerai bien savoir comment se déroule ce genre d’enquête ?
D’abord, est-ce que quelqu’un à prévenu la CNIL (un (ancien ?) employé, un client, … ?), et est-ce qu’ils ont accès à l’intégralité du code + des configurations serveur, ou juste ils posent des questions et les employés répondent gentiement “le mot de passe de la base de donéées ? Bah, il est sur le fichier mdp.txt sur le PC de Jean-Luc” ???

votre avatar

lorsqu’une personne demande l’effacement de son compte, la société ne supprime pas les données à caractère personnel mais procède uniquement à la désactivation du compte en question


Bouh, le méchant bricoprive.com



Heureusement que les GAFA ne font pas cela. Ca serait terrible.

votre avatar

Effectivement. J’ai (a priori) fermé un compte FB mais je reçois tjrs des mail de FB sur l’adresse mail concernée …

votre avatar

Le pire étant ces rumeurs de “shadow profiles” qui sont créés par les sites et pour lesquels il n’y a évidemment aucun moyen de demander la suppression (puisque pas de compte officiel).

votre avatar

Ce n’est pas une rumeur … et ce n’est pas un secret non plus



Mais avec le RGPD ils sont censé avoir eu ton accord à un moment.

votre avatar

(quote:1880940:127.0.0.1)
Bouh, le méchant bricoprive.com



Heureusement que les GAFA ne font pas cela. Ca serait terrible.


En France on a pas de GAFA mais on a des idées,




On va coller 500 000€ d’amendes a nos entreprises de French tech pour financer les futurs enreprises de French tech (Licornes)



:bravo:

votre avatar

Ils ont eu 2 ans pour résoudre leurs soucis avec le RGPD, j’ai lu de travers la délibération, et je trouve qu’ils s’en sortent bien.

votre avatar

misocard a dit:


Ce n’est pas une rumeur … et ce n’est pas un secret non plus



Mais avec le RGPD ils sont censé avoir eu ton accord à un moment.


Et ils sont censés aussi respecter quand on ne le donne plus.

votre avatar

ils sont même censés proposer un moyen de retirer son accord :mad2:

votre avatar

“Sur le terrain de la sécurité, l’authentification lors de la création d’un compte « reposait sur un mot de passe composé uniquement de six caractères numériques, de type 123456 »… La formation restreinte de la CNIL lui a répondu que « la longueur et la complexité d’un mot de passe demeurent des critères élémentaires permettant d’apprécier la force de celui-ci »”



Euh, ma banque en est toujours à un mot de passe de 6 chiffres pour m’authentifier, avec des conséquences en terme de piratage bien plus grandes - ça n’émeut pas la CNIL ?

votre avatar

Tu as le droit à combien d’essais avant d’être bloqué ?



Et sans double authentification, tu peux faire quoi sur ton compte ?

votre avatar

Comme le dit fred42, les comptes sont souvent bloqués rapidement et la double authentification est maintenant obligatoire.



De plus, on ne peut pas taper ces 6 chiffres au clavier mais via leurs interfaces pourries, donc pas de keylogger possible.



C’est absurde niveau sécurité d’avoir que 6 chiffres, mais c’est pour pallier à l’ignorance des gens lambda (qui n’utilisent donc pas de gestionnaire de mots de passe) (et qui mettrai le nom de leurs enfants comme mot de passe).



J’imagine que c’est une sorte de compromis même si je préfèrerai (personnellement) pouvoir mettre un mot de passe de 30 caractères que je ne connaitrai pas et qui serait au chaud dans mon gestionnaire :)

votre avatar

C’est absurde niveau sécurité d’avoir que 6 chiffres, mais c’est pour pallier à l’ignorance des gens lambda (qui n’utilisent donc pas de gestionnaire de mots de passe) (et qui mettrai le nom de leurs enfants comme mot de passe).


Je doute qu’une date de naissance soit plus fiable qu’un prénom…

votre avatar

Pour le coup, les dates de naissance ne doivent pas être beaucoup utilisées puisqu’on ne peut pas utiliser un mot de passe déjà réutilisé.
Mais c’est un problème de façon générale d’ignorance des gens je pense.

votre avatar

Sur le terrain de la sécurité, l’authentification lors de la création d’un compte « reposait sur un mot de passe composé uniquement de six caractères numériques, de type 123456 ».


Euh, mes 2 banques aussi, c’est grave docteur ?

votre avatar

Totoxoros a dit:


Euh, mes 2 banques aussi, c’est grave docteur ?


Comme le dit pofilo :




pofilo a dit:


Comme le dit fred42, les comptes sont souvent bloqués rapidement et la double authentification est maintenant obligatoire.



pofilo a dit:


De plus, on ne peut pas taper ces 6 chiffres au clavier mais via leurs interfaces pourries, donc pas de keylogger possible.


J’ai vu passer un keylogger qui fait un screenshot lors de l’apparition du clavier virtuel et enregistre les coordonnées x/y à chaque frappe. Ça demande une étape manuelle pour reconstruire la suite de chiffres, mais c’est faisable.



Après, avec un phishing bien fait, on peut aussi intercepter la double authentification. Mais je ne sais pas si ça se fait souvent ou pas.

votre avatar

« la fonction de hachage utilisée pour la conservation des mots de passe des salariés utilisateurs du site bricoprive.com était obsolète (MD5) ».


OMG !



Et pendant ce temps, Sony stocke les mdp et les n° de CB en clair. Mais tout va bien.

votre avatar

En 2014 ou après mai 2018 ?



Car justement maintenant les instances peuvent agir (plus facilement et en faisant plus mal).

votre avatar

C’était en 2011 ! Il y a 20 ans, donc, mais ça a failli marcher.

votre avatar

misocard a dit:


En 2014 ou après mai 2018 ?


Ils n’ont pas été hacké récemment donc on ne sait pas encore.
Heureusement qu’il y a les hackers pour faire les audits de conformité RGPD

votre avatar

Garga a dit:


J’ai vu passer un keylogger qui fait un screenshot lors de l’apparition du clavier virtuel et enregistre les coordonnées x/y à chaque frappe. Ça demande une étape manuelle pour reconstruire la suite de chiffres, mais c’est faisable.


Ce doit être la raison pour laquelle l’ordre des chiffres est aléatoire sur ces claviers virtuels.

votre avatar

fred42 a dit:


C’était en 2011 ! Il y a 20 ans, donc, mais ça a failli marcher.


2011 ou 2001 ?

votre avatar

Oups, 10 ans, mais ça fait déjà beaucoup.

votre avatar

pofilo a dit:


[..] je préfèrerai (personnellement) pouvoir mettre un mot de passe de 30 caractères que je ne connaitrai pas et qui serait au chaud dans mon gestionnaire :)


Perso je préfère un mdp de 39 caractères que je connais :8




SebGF a dit:


Ce doit être la raison pour laquelle l’ordre des chiffres est aléatoire sur ces claviers virtuels.


D’où le screenshots pour savoir où sont le chiffrés avant d’enregistrer les coordonnés de clics ;) :windu:

votre avatar

Ah oui au temps pour moi, j’avais pas fait le rapprochement entre les deux actions.

votre avatar

D’ailleurs pas besoin d’interventionnhumaine a posteriori comme le sous entends @Garga



Il suffit de capturer la zone autour du pointeur à chaque clic (20px à vue de nez pour ma banque), un coup d’OCR et le “keylogger” à toutes les infos nécessaires tout seul comme un grand :D



Bientôt pour éviter ça il vont nous faire des claviers virtuels en mode capcha :mad2:

votre avatar

Toutafé.



Chez un de mes clients précédents j’ai utilisé Selenium avec une authentification sur un tel type de clavier. On ne peut plus simple.

votre avatar

Au sujet des banques à la sécurité “faible” par rapport à l’authentification, c’est loin d’être le cas. Ce n’est qu’une apparence.



Le “mot de passe” est souvent faible, mais :




  • le compte est verrouillé après un certains nombre d’essais infructueux. Il faut alors en général contacter son banquier pour le déverrouiller (le brut force est donc très délicat à mettre en oeuvre)

  • les opérations dangereuses nécessitent généralement soit une double authentification, soit un délai (par ex. impossible de faire un virement pendant 48h lors de l’ajout d’un nouveau compte), et chaque opération est doublée de notifications. Donc si on reçoit une notification et qu’on n’est pas à l’origine de l’action, on contacte illico son banquier

  • je ne dis pas que c’est le cas pour toute, mais au niveau de mes banques (perso et pro), pas de login par email. Uniquement un identifiant. Si dans un cas c’est le numéro de compte (donc récupérable plus ou moins facilement), dans l’autre cas, c’est un numéro totalement différent qui ne sert qu’à me connecter ! Et s’il n’a pas vocation a être secret, il ne l’a pas non plus à être publique.

votre avatar

Garga a dit:


Après, avec un phishing bien fait, on peut aussi intercepter la double authentification. Mais je ne sais pas si ça se fait souvent ou pas.


Maintenant certaines font un contrôle de l’appareil avec envoi d’un SMS ou/et d’un mail pour confirmer lors de l’installation de l’appli.

votre avatar

Valeryan_24 a dit:


Euh, ma banque en est toujours à un mot de passe de 6 chiffres pour m’authentifier, avec des conséquences en terme de piratage bien plus grandes - ça n’émeut pas la CNIL ?


Pas de double authentification avec un code par SMS ou une appli ?



Dans ce cas, en effet c’est pas légal et je te conseille de contacter la CNIL (si personne ne la prévient, elle ne peut pas deviner…).

votre avatar

Je ne comprends pas qu’on ait encore des restrictions sur nos mots de passe. Un site sur deux, c’est “pas le droit à plus de 12 caractères”, “pas le droit aux espaces”, “pas le droit aux smileys” ou autres caractères non Ascii… Mais une fois salé/hashé, tout ça c’est pareil en bdd, pourquoi vous m’embêtez ???



Mais bon, c’est frustrant mais c’est pas le plus grave, car pendant ce temps chez Free, quand tu dis que tu as oublié ton mot de passe, tu le reçois toujours par email, façon années 2000… (En tous cas y a un an c’était encore ça, j’essaie pas tous les jours…)

votre avatar

fred42 a dit:


Tu as le droit à combien d’essais avant d’être bloqué ?



Et sans double authentification, tu peux faire quoi sur ton compte ?



pofilo a dit:


Comme le dit fred42, les comptes sont souvent bloqués rapidement et la double authentification est maintenant obligatoire.



De plus, on ne peut pas taper ces 6 chiffres au clavier mais via leurs interfaces pourries, donc pas de keylogger possible.



Mihashi a dit:


Pas de double authentification avec un code par SMS ou une appli ?



Dans ce cas, en effet c’est pas légal et je te conseille de contacter la CNIL (si personne ne la prévient, elle ne peut pas deviner…).


En effet, j’ai bien la double authentification, et de mémoire pour l’appli Android elle est liée à mon smartphone - si j’en change, je dois faire authentifier le nouveau - mais sur le web, si on connaît mon identifiant et mot de passe, on peut consulter tous mes comptes, télécharger un RIB, voir les bénéficiaires enregistrés pour les virements (sans en faire un), c’est déjà beaucoup…



Et tous les ans, ils me forcent à changer mon code à 6 chiffres !

La CNIL inflige 500 000 euros d’amende à Brico Privé

Fermer