Faille de sécurité chez Bouygues : 2 000 000 de clients B&You ont été impactés

Juste avant l'entrée en vigueur du RGPD : La Cnil a infligé une amende de 250 000 euros à l'encontre de Bouygues Telecom

Juste avant l'entrée en vigueur du RGPD : La Cnil a infligé une amende de 250 000 euros à l'encontre de Bouygues Telecom

Durant deux ans, plus de deux millions de clients de B&You ont pu être pu être impactés par cette faille de sécurité. La Cnil a infligé une amende de 250 000 euros à l'encontre de Bouygues Télécom pour avoir insuffisamment protégé les données de ses clients, indique l'autorité administrative jeudi 27 décembre, lien vers le site de la CNIL parlant de cela.

Pour rappel, le RGPD a été en vigueur le 25 mai 2018 et c'est en mars 2018 que remonte ces faits.

Un contrôle réalisé par la Commission nationale de l’informatique et des libertés (CNIL) dans les locaux de l’opérateur téléphonique a permis de « confirmer l’existence d’une vulnérabilité permettant d’accéder à des contrats et factures de clients B&You ». Pendant plus de deux ans, ces données confidentielles étaient accessibles via une simple modification de l’adresse URL sur le site Web de Bouygues Télécom.

Un site portant sur la cybersécurité est à l'origine de la découverte

Il décrit que les documents comportent le nom, prénom, adresse mail, adresse postale, date de naissance, caractéristique de la ligne téléphonique, numéro de téléphone, relevé d'identité et autres étaient disponibles en changeant dans l'URL les numéros qui été générés par le PDF automatiquement. C'est lui qui avait prévenu Bouygues Télécom et dans un même temps la Cnil en mars dernier, afin que pour l'un, il corrige la faille de sécurité et pour l'autre qu'il mène une enquête à l'encontre de ladit société.

Le site internet Zataz rappelle, qu'un pirate pouvait très bien mettre en place un programme informatique pouvant collecter les documents et obtenir ainsi de précieuses informations sûres de potentielles cibles. Les nombres de possibilités concernant les utilisations de ces données sensibles sont nombreuses, par exemple : des campagnes d'hameçonnage pouvant mener à des arnaques, falsification d'identité.

La réactivité de Bouygues Télécom prise en compte

La CNIL soulève "La formation restreinte a constaté que le défaut de sécurité trouvait son origine dans l’oubli de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins de ces tests.  Elle a estimé néanmoins qu’il appartenait à la société d’être particulièrement vigilante quant à l’effectivité de son mécanisme d’authentification, compte tenu de son choix de ne pas mettre en place de mesure de sécurité complémentaire".

Le pouvoir de sanction de la Cnil a été renforcé par la loi de 2016 pour la protection des données personnelles, le plafond des amendes jusque-là fixé à 150.000 euros passant à 3 millions d’euros. La société n'a donc écoqué que d'une amende de 250 000 euros.

Il est à rappeler que le nouveau règlement européen sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Les amendes encourus peuvent quant a elle atteindre jusqu’à 20 millions d’euros et 4 % du chiffre d’affaires.

Divers articles sur la RGPD qui pourrait vous intéresser...