Nouvelle amende

Nouvelle amende CNIL pour une fuite de données

Nouvelle amende donnée par la CNIL pour une entreprise fuiteuse. ZATAZ vous explique comment un protocole d’alerte a permis de faire disparaitre des centaines d’avis d’impositions.

Nouvelle amende de la CNIL pour une fuite de données très sensible. Le 10 juin 2017, un internaute contacte ZATAZ afin de lui remonter un étonnant lien. Le lien dirige vers un site web, plus exactement dans un dossier ouvert. En regardant de plus près, le dossier apparaissait dans les moteurs de recherche tels que Google, Qwant, DuckDo. Quelques fichiers étaient référencés. Le nom de ces documents, des fichiers PDF, ne me feront pas réfléchir 50 ans : avis-imposition.

Via un Google Dork, des centaines d’avis d’impositions étaient accessibles. Dans la foulée, une alerte part à la CNIL. L’action de la grande Dame de la protection de nos données étaient lancée. L’entreprise fuiteuse, l’association ADEF.

Nouvelle amende CNIL : 75 000€

Cette société a pour mission la mise à disposition de logements dans des résidences et foyers notamment pour des étudiants, des familles monoparentales et des travailleurs migrants. Le 15 juin, la Commission Information et des Libertés réalisé un contrôle en ligne. La CNIL va constater un accès à des documents enregistrés par d’autres demandeurs comme des avis d’imposition, passeports, cartes d’identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF. 42 652 documents.

42 652 documents

La formation restreinte de la CNIL (2) a prononcé une sanction pécuniaire de 75 000 euros, estimant que l’association avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés.

La CNIL relève que les mesures élémentaires de sécurité inexistantes en amont du développement du site. Elle a notamment précisé que l’association aurait dû mettre en place un dispositif permettant d’éviter la prévisibilité des URL. Exemple : URL composée d’une chaîne de caractères aléatoires et ne comportant pas la dénomination de la pièce fournie. Dans ce cas : « carte-identité », « cni » ou « avis imposition ».

De plus, la société aurait dû prévoir une procédure d’identification ou d’authentification des utilisateurs du site internet afin de protéger les documents téléversés par les demandeurs.

A noter que le Protocole d’Alerte ZATAZ a alerté la CNIL, après avoir tenté de joindre l’entreprise fuiteuse, dans ce cas une université, après la découverte de centaine de données appartenant à des étudiants étrangers. Le stockage des données, dans un dossier, référencé par des moteurs de recherche ! C’est la 10e alerte ZATAZ a été prise en compte par la CNIL, dont Hertz France, Oui Car, Parti Socialiste, Grand frais ou encore Optical Center.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Pingback: ZATAZ Rétrospective 2018 : le web, plus troué qu'un gruyère ? - ZATAZ

  2. Pingback: ZATAZ Confidentialité : Amende de 180 000€ pour fuite de données - ZATAZ

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.