GPA2SOU
Personne n'a le droit de mourir le ventre vide
La CNIL vient d’infliger une amende administrative de 180 000 euros à une Assurances, pour manquement à son obligation de sécuriser les données de ses clients.
Pendant plusieurs années, un défaut de conception de son site Internet a rendu accessibles des centaines de milliers de documents personnels.
Des cartes grises, des permis de conduire, des RIB, des attestations d’assurance...
Voilà le type de documents auxquels ont pu librement accéder les agents de la CNIL, lors d’un contrôle en ligne réalisé en juin 2018.
Quelques jours plus tôt, l’autorité administrative indépendante avait été alertée par l’un des clients de l' Assurance, qui s’était aperçu qu’il était possible de récupérer les données d’autres clients, depuis le site de l’assureur, sans que le moindre mot de passe ne lui soit demandé.
En tout, ce sont plusieurs centaines de milliers de documents qui s’avèrent exposés, du fait d’un défaut de sécurité affectant le site web de la société... depuis 2014.
Méconnaissance de « mesures élémentaires » de sécurité
Lors de son contrôle en ligne du 28 juin, la délégation de la CNIL a constaté qu’une requête au sein d'un certain moteur de recherche « faisait apparaître des liens hypertextes permettant d’accéder librement à certains comptes de clients de la société, sans authentification préalable » (ceci à partir des mots clés
« xxx.xxx.fr » et « site:xxx.xxx.fr »).
En cliquant sur ces liens, les agents de la CNIL ont pu accéder à des comptes de clients, « comportant notamment leur nom, prénom, adresse postale, adresse électronique, numéro de téléphone ». Il leur fut également possible de « télécharger plusieurs documents PDF concernant des personnes, tels que des pièces d’identité, des devis, des attestations d’assurance automobile ou encore des contrats d’assurance ».
Autre problème : en modifiant un simple numéro apparaissant à la fin d’une des adresses URL affichées dans les résultats proposés par ce moteur de recherche, il était là encore possible d’accéder à des comptes personnels de clients.
Avertie par téléphone, la société, qui emploie environ 160 salariés (dont 150 situés dans une succursale à Madagascar), a pris des mesures dans les 24 heures pour colmater la fuite.
L' Assurance a ainsi modifié le code source de son site web, et notamment « le paramétrage des documents stockés sur le service Microsoft Azure, celui-ci étant, avant l’alerte de la CNIL, configuré de telle sorte que les fichiers étaient accessibles publiquement depuis l’Internet », raconte la gardienne des données personnelles.
Un nouveau hic, l’autorité indépendante constate, le 12 juillet, lors d’un contrôle effectué dans les locaux de l’assureur, qu’en cliquant sur le bouton « en cache » affiché à côté des adresses URL référencées par Yahoo, Bing et Qwant, il est « encore possible d’accéder à des pages contenant des données personnelles des clients ».
Les agents de la CNIL tiquent au passage sur autre chose : « les mots de passe de connexion des clients à leur espace personnel (...) correspondaient à leur date de naissance ». Une pratique d’autant plus embêtante qu'elle était imposée par L' Assurance.
Résultats, Fichier xxx.xxx manquant ou mal config voila les conséquences
Voila pourquoi avant de laisser nos données quelques part, il est important d’effectuer quelques recherches au préalable afin de savoir si celles ci seront en sécurité
Pendant plusieurs années, un défaut de conception de son site Internet a rendu accessibles des centaines de milliers de documents personnels.
Des cartes grises, des permis de conduire, des RIB, des attestations d’assurance...
Voilà le type de documents auxquels ont pu librement accéder les agents de la CNIL, lors d’un contrôle en ligne réalisé en juin 2018.
Quelques jours plus tôt, l’autorité administrative indépendante avait été alertée par l’un des clients de l' Assurance, qui s’était aperçu qu’il était possible de récupérer les données d’autres clients, depuis le site de l’assureur, sans que le moindre mot de passe ne lui soit demandé.
En tout, ce sont plusieurs centaines de milliers de documents qui s’avèrent exposés, du fait d’un défaut de sécurité affectant le site web de la société... depuis 2014.
Méconnaissance de « mesures élémentaires » de sécurité
Lors de son contrôle en ligne du 28 juin, la délégation de la CNIL a constaté qu’une requête au sein d'un certain moteur de recherche « faisait apparaître des liens hypertextes permettant d’accéder librement à certains comptes de clients de la société, sans authentification préalable » (ceci à partir des mots clés
« xxx.xxx.fr » et « site:xxx.xxx.fr »).
En cliquant sur ces liens, les agents de la CNIL ont pu accéder à des comptes de clients, « comportant notamment leur nom, prénom, adresse postale, adresse électronique, numéro de téléphone ». Il leur fut également possible de « télécharger plusieurs documents PDF concernant des personnes, tels que des pièces d’identité, des devis, des attestations d’assurance automobile ou encore des contrats d’assurance ».
Autre problème : en modifiant un simple numéro apparaissant à la fin d’une des adresses URL affichées dans les résultats proposés par ce moteur de recherche, il était là encore possible d’accéder à des comptes personnels de clients.
Avertie par téléphone, la société, qui emploie environ 160 salariés (dont 150 situés dans une succursale à Madagascar), a pris des mesures dans les 24 heures pour colmater la fuite.
L' Assurance a ainsi modifié le code source de son site web, et notamment « le paramétrage des documents stockés sur le service Microsoft Azure, celui-ci étant, avant l’alerte de la CNIL, configuré de telle sorte que les fichiers étaient accessibles publiquement depuis l’Internet », raconte la gardienne des données personnelles.
Un nouveau hic, l’autorité indépendante constate, le 12 juillet, lors d’un contrôle effectué dans les locaux de l’assureur, qu’en cliquant sur le bouton « en cache » affiché à côté des adresses URL référencées par Yahoo, Bing et Qwant, il est « encore possible d’accéder à des pages contenant des données personnelles des clients ».
Les agents de la CNIL tiquent au passage sur autre chose : « les mots de passe de connexion des clients à leur espace personnel (...) correspondaient à leur date de naissance ». Une pratique d’autant plus embêtante qu'elle était imposée par L' Assurance.
Résultats, Fichier xxx.xxx manquant ou mal config voila les conséquences
Voila pourquoi avant de laisser nos données quelques part, il est important d’effectuer quelques recherches au préalable afin de savoir si celles ci seront en sécurité