Votre nom :
Votre email :
Email du destinataire :

Données personnelles piratées : la CNIL juge Orange responsable

La CNIL juge Orange coupable de façon publique

Près de 4 mois après le piratage des informations personnelles de plus de 1 million de clients, la CNIL accuse publiquement Orange de « défaut de sécurité des données ». Pourquoi ?

Malgré une charte garantissant la sécurité des données personnelles signée à l’automne 2013 par Stéphane Richard (PDG de Orange), les clients de l’opérateur ont vu leurs informations se volatiliser par deux fois en 2014 :

C’est sur cette deuxième fuite de données que la CNIL (Commission nationale de l’informatique et des libertés) s’est penchée, et 4 mois après les faits, son constat est implacable : selon sa délibération publique, Orange a « manqué à son obligation de sécurité » et « ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires« .

Comment les données ont-elles été piratées ?

Pour mener à bien une campagne d’e-mailing, Orange a fait appel à un prestataire de services, qui a lui-même sollicité un sous-traitant. Une fois le courriel de prospection envoyé à tous les destinataires, il s’est avéré que le lien (obligatoire) de désinscription était vulnérable : une modification de l’adresse URL a en effet permis d’accéder au serveur du prestataire final, contenant notamment « 700 fichiers relatifs aux clients et aux prospects de la société Orange« . Ceux-ci ont été illégitimement « aspirés » au début du mois de mars 2014, depuis une adresse IP non identifiée.

Que reproche la CNIL à Orange ?

A première vue, la responsabilité du piratage incomberait plutôt au prestataire. Mais la CNIL accuse clairement Orange, pour trois raisons précises :

  • L’application de prospection avait été soumise à Orange par le prestataire dès novembre 2013, et l’opérateur n’a réalisé aucun audit de sécurité.
  • Orange a fourni à ses sous-traitants des fichiers clients « par simple courriel et sans mesure de sécurité particulière« .
  • Orange n’a imposé à ses prestataires aucune clause de sécurité et de confidentialité des données.

La CNIL estime alors que l’opérateur « a manqué à son obligation de sécurité » et qu’il ne pourra reporter cette faute sur les sous-traitants.

Des circonstances atténuantes

La CNIL reconnaît toutefois que Orange a « remédié dans des délais satisfaisants aux faiblesses techniques » et a « démontré pour l’avenir une meilleure prise en compte des problématiques de confidentialité des données« . La sanction de la Commission se veut donc clémente : aucune mesure particulière n’a été prise à l’encontre de Orange, mis à part cette délibération publique, qui devrait ternir un peu plus l’image de l’opérateur.

Et les victimes dans tout ça ?

Les nombreuses informations personnelles piratées (adresses mail, numéros de téléphones fixe et mobile, dates de naissance, etc.) sont aujourd’hui probablement intégrées à différentes bases de données administrées par des cybercriminels, qui pourront les exploiter à l’envi, dans le cadre de campagnes de phishing par exemple.

Si – après le piratage – Orange a essayé de réagir rapidement en contactant toutes les personnes concernées, celles-ci doivent rester vigilantes et se méfier des mails douteux, même s’ils semblent provenir de l’opérateur (présence du logo, invitation à se connecter sur un site jumeau, etc.).

 

Source: nextimpact.com

Suggestions de contenu lié à cet article
TAGS CNILinformations personnellespiratagesécurité

1 commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Protection anti-spam

«Parapluie Paracétamol Parachute Paranalogie Parasite»

Dans le texte ci dessus, quel mot nous protège le plus des averses  ?

Votre réponse :

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

BIEHLER
24/10/2018 20:39

Bonjour,
mon compte courriel a été piraté et mes donnés bancaires utilisés pour des usages personnels facturés par orange depuis deux mois. Orange ne réagi pas!