Près de 4 mois après le piratage des informations personnelles de plus de 1 million de clients, la CNIL accuse publiquement Orange de « défaut de sécurité des données ». Pourquoi ?
Malgré une charte garantissant la sécurité des données personnelles signée à l’automne 2013 par Stéphane Richard (PDG de Orange), les clients de l’opérateur ont vu leurs informations se volatiliser par deux fois en 2014 :
- En janvier : piratage « Mon Compte » Orange
- En avril : 1,3 millions de données clients piratées
C’est sur cette deuxième fuite de données que la CNIL (Commission nationale de l’informatique et des libertés) s’est penchée, et 4 mois après les faits, son constat est implacable : selon sa délibération publique, Orange a « manqué à son obligation de sécurité » et « ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires« .
Comment les données ont-elles été piratées ?
Pour mener à bien une campagne d’e-mailing, Orange a fait appel à un prestataire de services, qui a lui-même sollicité un sous-traitant. Une fois le courriel de prospection envoyé à tous les destinataires, il s’est avéré que le lien (obligatoire) de désinscription était vulnérable : une modification de l’adresse URL a en effet permis d’accéder au serveur du prestataire final, contenant notamment « 700 fichiers relatifs aux clients et aux prospects de la société Orange« . Ceux-ci ont été illégitimement « aspirés » au début du mois de mars 2014, depuis une adresse IP non identifiée.
Que reproche la CNIL à Orange ?
A première vue, la responsabilité du piratage incomberait plutôt au prestataire. Mais la CNIL accuse clairement Orange, pour trois raisons précises :
- L’application de prospection avait été soumise à Orange par le prestataire dès novembre 2013, et l’opérateur n’a réalisé aucun audit de sécurité.
- Orange a fourni à ses sous-traitants des fichiers clients « par simple courriel et sans mesure de sécurité particulière« .
- Orange n’a imposé à ses prestataires aucune clause de sécurité et de confidentialité des données.
La CNIL estime alors que l’opérateur « a manqué à son obligation de sécurité » et qu’il ne pourra reporter cette faute sur les sous-traitants.
Des circonstances atténuantes
La CNIL reconnaît toutefois que Orange a « remédié dans des délais satisfaisants aux faiblesses techniques » et a « démontré pour l’avenir une meilleure prise en compte des problématiques de confidentialité des données« . La sanction de la Commission se veut donc clémente : aucune mesure particulière n’a été prise à l’encontre de Orange, mis à part cette délibération publique, qui devrait ternir un peu plus l’image de l’opérateur.
Et les victimes dans tout ça ?
Les nombreuses informations personnelles piratées (adresses mail, numéros de téléphones fixe et mobile, dates de naissance, etc.) sont aujourd’hui probablement intégrées à différentes bases de données administrées par des cybercriminels, qui pourront les exploiter à l’envi, dans le cadre de campagnes de phishing par exemple.
Si – après le piratage – Orange a essayé de réagir rapidement en contactant toutes les personnes concernées, celles-ci doivent rester vigilantes et se méfier des mails douteux, même s’ils semblent provenir de l’opérateur (présence du logo, invitation à se connecter sur un site jumeau, etc.).
Source: nextimpact.com
Aucun commentaire