fuite de données Jaguar Land Rover vos données personnelles

Confidentialité : Amende de 180 000€ pour fuite de données

Posted On 25 Juil 2019

En juin 2018, le Protocole ZATAZ alertait la Commission Informatique et des Libertés d’un problème de confidentialité concernant les clients de l’assureur Active Assurances. Un an plus tard, la CNIL sanctionne l’entreprise à auteur de 180 000 euros d’amende pour atteinte à la sécurité des données des clients.

Confidentialité des données – Jeudi 25 juillet 2019, la Commission Informatique et des Libertés communiquait sur une nouvelle amende infligée à une entreprise française pour atteinte à la sécurité des données des clients. La formation restreinte de la CNIL a prononcé une sanction de 180 000 euros à l’encontre de la société ACTIVE ASSURANCES pour avoir insuffisamment protégé les données des utilisateurs de son site web. Un an plus tard, ZATAZ va vous expliquer une faille et une fuite qui aurait pu être évitée.

Juin 2018, un lecteur de ZATAZ m’informe d’un problème sérieux sur le site de son assureur. L’internaute souhaite passer par le Protocole ZATAZ afin que soit résolu ce problème. Il a déjà tenté de joindre la société par téléphone : « Trois fois pour expliquer le problème, mais il n’était pas très inquiet! »

Un courriel envoyé à l’entreprise restera sans réponse. Dans ce cas là, et comme pour les (+) 70 000 entreprises aidées bénévolement par le Protocole ZATAZ, une alerte est envoyée à la Commission Informatique et des Libertés. La Grand Dame a des moyens légaux qui font tendre les deux oreilles aux entreprises un peu trop sourdes aux alertes.

Confidentialité, veille et audit !

Un an après le protocole ZATAZ, la CNIL sanctionne (comme elle a pu le faire pour une dizaine d’autres alertes ZATAZ : Alain Juppe, professionnel du logement, Optical Center, Darty, Grand Frais, Hertz …). Une « punition » évitable. Comment ? Répondre à notre alerte, au courriel et appels de son client… et avoir une veille.

Bilan, elle aurait découvert que via plusieurs moteurs de recherche, des documents clients apparaissaient. Des liens vers l’espace client se retrouvaient dans Google, Qwant et Duck Duck Go, des moteurs de recherche. Des adresses web dirigeant vers le back office de chaque utilisateur (ancien et présent) avec les informations sensibles et très personnelles pour chacun.

Sans aucune demande d’identification, et en modifiant les urls (modification du chiffre du contrat), il était possible à un malveillant de ponctionner les informations personnelles. Elles auraient pu finir dans le black market.

Deux fuites, la première via le back office sur le site officiel, et la seconde, via windows.net. Le cloud de Microsoft qui permet de stocker cartes nationales d’identité, permis de conduire, rib, cartes crise … des clients.

La formation restreinte de la CNIL a toutefois pris en compte la réactivité de la société dans la correction du défaut de sécurité et sa coopération avec les services de la CNIL.

Quelques semaines plus tard, la CNIL recevait une autre fuite concernant un assureur. Moins grave, elle concernait plus de 700 000 courriels à destination des clients Groupama.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.