Votre nom :
Votre email :
Email du destinataire :

Données personnelles piratées : la CNIL juge Orange responsable

La CNIL juge Orange coupable de façon publique

Près de 4 mois après le piratage des informations personnelles de plus de 1 million de clients, la CNIL accuse publiquement Orange de « défaut de sécurité des données ». Pourquoi ?

Malgré une charte garantissant la sécurité des données personnelles signée à l’automne 2013 par Stéphane Richard (PDG de Orange), les clients de l’opérateur ont vu leurs informations se volatiliser par deux fois en 2014 :

C’est sur cette deuxième fuite de données que la CNIL (Commission nationale de l’informatique et des libertés) s’est penchée, et 4 mois après les faits, son constat est implacable : selon sa délibération publique, Orange a « manqué à son obligation de sécurité » et « ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires« .

Comment les données ont-elles été piratées ?

Pour mener à bien une campagne d’e-mailing, Orange a fait appel à un prestataire de services, qui a lui-même sollicité un sous-traitant. Une fois le courriel de prospection envoyé à tous les destinataires, il s’est avéré que le lien (obligatoire) de désinscription était vulnérable : une modification de l’adresse URL a en effet permis d’accéder au serveur du prestataire final, contenant notamment « 700 fichiers relatifs aux clients et aux prospects de la société Orange« . Ceux-ci ont été illégitimement « aspirés » au début du mois de mars 2014, depuis une adresse IP non identifiée.

Que reproche la CNIL à Orange ?

A première vue, la responsabilité du piratage incomberait plutôt au prestataire. Mais la CNIL accuse clairement Orange, pour trois raisons précises :

  • L’application de prospection avait été soumise à Orange par le prestataire dès novembre 2013, et l’opérateur n’a réalisé aucun audit de sécurité.
  • Orange a fourni à ses sous-traitants des fichiers clients « par simple courriel et sans mesure de sécurité particulière« .
  • Orange n’a imposé à ses prestataires aucune clause de sécurité et de confidentialité des données.

La CNIL estime alors que l’opérateur « a manqué à son obligation de sécurité » et qu’il ne pourra reporter cette faute sur les sous-traitants.

Des circonstances atténuantes

La CNIL reconnaît toutefois que Orange a « remédié dans des délais satisfaisants aux faiblesses techniques » et a « démontré pour l’avenir une meilleure prise en compte des problématiques de confidentialité des données« . La sanction de la Commission se veut donc clémente : aucune mesure particulière n’a été prise à l’encontre de Orange, mis à part cette délibération publique, qui devrait ternir un peu plus l’image de l’opérateur.

Et les victimes dans tout ça ?

Les nombreuses informations personnelles piratées (adresses mail, numéros de téléphones fixe et mobile, dates de naissance, etc.) sont aujourd’hui probablement intégrées à différentes bases de données administrées par des cybercriminels, qui pourront les exploiter à l’envi, dans le cadre de campagnes de phishing par exemple.

Si – après le piratage – Orange a essayé de réagir rapidement en contactant toutes les personnes concernées, celles-ci doivent rester vigilantes et se méfier des mails douteux, même s’ils semblent provenir de l’opérateur (présence du logo, invitation à se connecter sur un site jumeau, etc.).

 

Source: nextimpact.com

Suggestions de contenu lié à cet article
TAGS CNILinformations personnellespiratagesécurité

2 commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Protection anti-spam

«Le caca des pigeons c'est caca, faut pas manger»

Dans le texte ci dessus, le caca des pigeons c'est quoi ?

Votre réponse :

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

BIEHLER
24/10/2018 20:39

Bonjour,
mon compte courriel a été piraté et mes donnés bancaires utilisés pour des usages personnels facturés par orange depuis deux mois. Orange ne réagi pas!

Marc Stéfani
14/08/2020 16:05

bonjour,
J’ai fait l’objet d’un piratage de mes infos personnelles sur Orange et ma boite mail, et quelqu’un a pu faire des achats sans mon consentement sur un site légal.
Orange se contente de me dire de changer mon mot de passe…. je pense que ce n’est pas suffisant car j’ai un préjudice financier.
Que puis-je faire ?
Cordialement.