Par une délibération n° SAN-2020-008 du 18 novembre 2020, la formation restreinte de la la Commission nationale de l’informatique et des libertés (Cnil) a constaté des manquements relatifs à la sécurité et à la violation de données d’une enseigne de la grande distribution
Les enseignements de cette délibération sont les suivants :
- La mise en place de chaînes de caractères aléatoires ne permet pas de pallier le risque de prévisibilité des adresses URL et d’accès aux comptes clients en ligne. Une procédure d’authentification préalable est nécessaire pour assurer la sécurité des données.
- En cas de violation de données causée par une attaque informatique, l’évaluation du risque pour les droits et libertés de personnes doit tenir compte de plusieurs critères, dont notamment l’origine de l’attaque, le nombre de personnes concernées, la possibilité de combiner et d’utiliser les données compromises à des fins d’identification des personnes et de réalisation d’autres actes malveillants.
Des mesures techniques et organisationnelles insuffisantes pour pallier une vulnérabilité du site Internet
Lors de l’un des contrôles diligentés par les agents de la Cnil, la société avait déclaré avoir identifié le 16 novembre 2018 une vulnérabilité du site Internet. Cette dernière avait permis l’accès aux factures mises à la disposition des clients dans leur espace personnel. Il était possible d’accéder à ces factures à partir d’une adresse URL fixe, sans qu’une authentification préalable soit nécessaire.
Afin de remédier à cette vulnérabilité, la société a envisagé de mettre en œuvre deux mesures, à savoir l’augmentation du nombre d’adresses URL potentielles grâce à l’ajout de caractères aléatoires et la mise en place d’un mécanisme d’authentification préalable. Toutefois, la seconde mesure n’a pas été mise en œuvre par la société. Ainsi, le jour du contrôle diligenté, soit huit mois après l’identification de la vulnérabilité, toutes les mesures correctrices n’avait pas été déployées.
La formation restreinte souligne que si l’ajout de caractères aléatoires réduit les risques liés à la prévisibilité des adresses URL, il ne permet pas de les faire disparaitre. A ce titre, elle reprend les recommandations de l’Agence nationale de la sécurité des systèmes d’information « qui alerte depuis 2013 sur cette vulnérabilité liée aux adresses URL, même dans le cas d’URL composées de plusieurs dizaines de caractères parfaitement aléatoires ».
Rappelons qu’en 2019, la Cnil avait sanctionné deux entités pour des manquements liés, entre autres, à la sécurité des données en raison de la prévisibilité des adresses URL (Délibération SAN-2019-005 du 28 mai 2019, Délibération SAN-2019-007 du 18 juillet 2019).
L’absence de notification à la Cnil d’une attaque informatique sur l’application mobile
L’application mobile du groupe auquel la société sanctionnée appartient a fait l’objet d’une attaque informatique le 1er juillet 2019. 800 000 tentatives de connexion aux comptes clients à partir de 10 000 adresses IP avaient été effectuées. Les attaquants ont pu réaliser 4 000 authentifications et accéder aux 275 comptes clients.
La société n’a pas notifié cette violation de données à la Cnil au motif que « la violation était peu susceptible d’engendrer un risque pour les droits et libertés des personnes ». Elle considérait également que « les personnes concernées [n’avaient] subi aucun préjudice financier puisqu’aucun point de fidélité [n’avait] été soustrait ».
Toutefois, selon la formation restreinte, il existait bien un risque pour les droits et libertés des personnes en raison de la gravité de la violation. Cette dernière était liée à l’origine malveillante de l’attaque et au grand nombre de personnes concernées. La gravité de la violation découlait également de la facilité d’identification des personnes concernées, les attaquants ayant pu accéder à plusieurs données pouvant être combinées (identité, numéro de téléphone, adresse électronique et adresse postale).
En outre, la formation restreinte estime que cette attaque informatique pouvait conduire à d’autres actes malveillants. A cet égard, elle précise que la réalisation de 4 000 authentifications créait un risque de tentatives d’accès sur d’autres sites Internet. Pour ce faire, la formation restreinte s’appuie sur le fait que les personnes utilisent souvent le même identifiant (adresse électronique) associé au même mot de passe sur différents sites Internet. Ainsi, les attaquants pouvaient-ils réutiliser les 4 000 combinaisons identifiées pour accéder à d’autres comptes ou espaces personnels autres que ceux initialement visés. Enfin, selon la formation restreinte, il existait également un risque d’hameçonnage puisque les attaquants avaient pu accéder à plusieurs informations sur les relations entre les personnes concernées et la société sanctionnée.
Il convient de noter que l’évaluation des risques pour les personnes concernées constitue une étape essentielle de la gestion d’une violation de données. Elle permet à l’entité de constituer un plan d’actions adapté à l’incident et de respecter ses obligations de notification à l’autorité de contrôle et de communication aux personnes concernées. Des précisions pratiques sur ces obligations ont été apportées par les autorités de contrôle européennes dans les lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679.
Mathias Avocats reste à votre disposition pour vous assister dans vos démarches de conformité, en cas de violation de données.