Peu de temps après la sanction à l’encontre d’Optical Center de 250 000 euros pour une atteinte à la sécurité des données, c’est au tour de la plateforme d’hébergement en ligne Dailymotion de payer les frais de sa non-conformité.
Le 2 août 2018, la Commission nationale de l’informatique et des libertés (CNIL) a publié une délibération aux termes de laquelle Dailymotion est sanctionné. Cette entreprise a insuffisamment sécurisé les données de ses utilisateurs, ce qui a entraîné une intrusion dans le système : une fuite de 82,5 millions de données d’adresse électroniques et 18,3 millions de mots de passe d’utilisateurs de la plateforme. 50 000 euros : voici le prix à payer pour le manquement à l’obligation d’assurer la sécurité et la confidentialité des données de ses utilisateurs.
Mathias Avocats revient sur cette décision et fait le point.
Quels sont les faits ?
Dailymotion est une plateforme d’hébergement en ligne, de contenus vidéos créés par ses utilisateurs. Le 5 décembre 2016, le site Internet Zdnet a fait état d’une fuite sur Dailymotion de millions de données. Dès lors, la CNIL a procédé à une mission de contrôle de la plateforme.
Il a été révélé que l’attaque a été faite en plusieurs étapes, durant plusieurs mois et vraisemblablement par plusieurs personnes. Ces dernières, sont parvenues à accéder aux identifiants d’un compte administrateur de la base de données, stockés en clair sur la plateforme. Elles ont ensuite exploité une vulnérabilité trouvée dans le code de la plateforme, ce qui leur a permis d’utiliser le compte administrateur pour accéder à distance à la base de données et ainsi extraire les données des utilisateurs. De même, il a été possible de voir qu’il n’y avait pas de politique de mots de passe complexes, ni de limitation de durée de conservation des données.
Par conséquent, la formation restreinte de la CNIL s’est réunie le 14 juin 2018. Quel a été son raisonnement ?
Un manquement à l’obligation de sécurité et de confidentialité
L’article 34 de la loi du 6 janvier 1978 modifiée dispose que « le responsable du traitement est tenu de prendre toute précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Selon Dailymotion, le responsable de traitement a une obligation de moyen et non de résultat. De la sorte, l’extraction frauduleuse des données n’est pas causée par l’insuffisance des mesures de sécurité, mais du fait d’une attaque « particulièrement sophistiquée ». La formation restreinte considère toutefois que, compte tenu de l’article 34 précité, le responsable de traitement a comme mission de fournir tout moyen qui assure la sécurité des données de la plateforme.
Un mot de passe au sein du code source
Le mot de passe permettant de s’authentifier sur un système ne doit pas pourvoir être divulgué. Il est donc impératif qu’il soit stocké dans un fichier protégé. La société fait néanmoins valoir que le mot de passe ne pouvait être sous une forme hachée au sein du code source (qui est la liste de codes qui permettent de développer un site Internet). Le mot de passe doit être en clair, afin que le compte de service puisse se connecter et effectuer des tests permettant de contrôler la validité des fonctionnalités d’administration.
Quand bien même le mot de passe est en clair et qu’il n’est pas possible de le conserver sous une forme hachée, sa présence constante dans le code source ne peut être justifié a répondu la CNIL. Des mesures préventives auraient dû être prises, afin de ne pas rendre accessible le mot de passe. Par exemple, stocker au sein du réseau interne le mot de passe et s’assurer qu’il était « injecté en temps réel dans le code source, uniquement lors des phases de test puis supprimé une fois le test achevé ».
Absence de mesure de limitation des accès externes à l’administration du système d’information
Subséquemment, la société explique que la plateforme a été conçue afin que des utilisateurs externes au réseau interne puissent disposer des droits d’administration. A cet égard, la CNIL considère que compte tenu du fait que des personnes externes au réseau puissent se connecter, la sécurisation de cette connexion aurait dû être particulièrement fiabilisée et sécurisée.
La société aurait pu, a minima, mettre en place une mesure de filtrage d’adresses IP afin que seules les requêtes provenant d’adresses IP identifiées et autorisées ou par l’utilisation d’un VPN, soient exécutés. La CNIL prend en compte le fait que des mesures de sécurisation ont été mises en place après la violation, mais ces mesures auraient dû être prises dès la conception de la plateforme. Il aurait été par conséquent impossible d’avoir accès à l’interface d’administration depuis Internet et de collecter des millions de données.
L’obligation de sécurité et ses mesures
En dernier lieu, la société expose le fait qu’eu égard à l’article 34 de la loi précitée, elle ne peut être considérée responsable, du fait que l’article ne donne pas au responsable de traitement des mesures précises à prendre. A cela, la CNIL répond que ce n’est pas pour cette raison que le principe de sécurité ne doit pas être respecté. La plateforme aurait dû être conçue conformément à l’état de l’art en la matière.
Ainsi, la formation restreinte de la CNIL considère que la société Dailymotion a manqué à son obligation de sécurité et de confidentialité des données.
Quelle sanction ?
Selon l’article 45.I de la loi du 6 janvier 1978 modifiée au jour des constats, si le responsable de traitement ne respecte pas les obligations légales, il peut se voir encourir une sanction pécuniaire, conformément à l’article 47 de la même loi. Le montant de la sanction doit ainsi être proportionnée à la gravité du manquement commis par la société et en fonction de l’avantage tiré de ce manquement. Il ne peut toutefois pas excéder 3 millions d’euros.
Pour déterminer le montant de la sanction, la CNIL a notamment pris en compte les questions suivantes :
- Y avait-il un caractère intentionnel ou une négligence du manquement ?
- Dailymotion a-t-elle prise des mesures afin d’atténuer les dommages subis par les personnes concernées ?
- Quel est le degré de coopération de Dailymotion avec la CNIL ?
- Quelles sont les catégories de données touchées ?
- Comment le manquement a-t-il été notifié à la CNIL ?
Dans un premier temps, la CNIL estime que l’atteinte subie « peut être qualifiée de sophistiquée » et que le nombre de catégories de données extraites reste réduit (mots de passe et adresses électroniques), limitant ainsi le risque d’atteinte à la vie privée des personnes concernées. De plus, la CNIL considère que Dailymotion a « fait preuve de coopération avec les services » de la CNIL. Toutefois, elle estime que la société a été négligente, en ne respectant pas des mesures élémentaires de sécurité, ce qui a impacté un volume considérable de données de personnes : 82,5 millions d’adresses électroniques et 18,3 millions de mots de passe.
Dans ce contexte, une sanction de 50 000 euros a été prononcée à l’encontre de Dailymotion. Cette publication a aussi été rendue publique, du fait « du nombre très important de données en cause, du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes quant aux risques pesant sur la sécurité de leurs données, [fusion_builder_container hundred_percent= »yes » overflow= »visible »][fusion_builder_row][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][…] ».
Que retenir ?
La lecture de la délibération de la formation restreinte conduit donc à insister sur l’importance des mesures de sécurité à mettre en œuvre, telles que :
- Privilégier l’authentification forte ;
- Ne pas stocker des fichiers en clair ;
- Stocker les mots de passe de façon sécurisée ;
- Utiliser un système de filtrage des adresses IP ou un réseau privé virtuel (VPN).
Des recommandations sont consultables sur le site de la CNIL. Notons que cette sanction a été rendue sous l’empire de la loi antérieure à l’entrée en application du RGPD. Mathias Avocats vous conseille par conséquent de procéder à un audit de conformité de votre structure et reste à votre disposition pour vous accompagner dans vos démarches.
[/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]