colmater une fuite sécurisé les données de ses clients

Protocole ZATAZ : sanction de 250.000€ à optical-center.fr pour une atteinte à la sécurité des données de ses clients

La CNIL a prononcé une sanction de 250.000 euros à l’encontre de la société OPTICAL CENTER pour avoir insuffisamment sécurisé les données de ses clients effectuant une commande en ligne à partir de son site internet. Une alerte du Protocole ZATAZ !

En juillet 2017, ZATAZ informait la CNIL après la constatation d’une « fuite de données conséquentes » concernant la société OPTICAL CENTER. Je vous relatais cette fuite en août 2017 après la correction de cette fuite d’informations.

Un contrôle en ligne a permis aux équipes de la CNIL de constater qu’il était possible, en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, d’accéder à des centaines de factures de clients de la société. Ces factures contenaient des données telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées.

Alertée le même jour par la CNIL, la société s’est rapprochée de son prestataire pour qu’il prenne les mesures nécessaires afin de mettre fin à cet incident de sécurité.

Contrôle après l’alerte de ZATAZ

Mon âge me fait porter des lunettes. Bilan, je fais appel à cette entreprise spécialisée. Sur la toile, un espace dédié au client et l’accès aux commandes/factures. Des documents sous forme de page web ou de PDF accessible via une adresse Internet dédiée. Vous commencez à percevoir le problème. L’url était de type www.optical-center.fr/blablabla/id=92829. Il suffisait de changer le chiffre après id= pour accéder aux informations privées et sensibles des autres clients. Heureusement, aucune donnée bancaire, mais tout le reste : Nom, prénom, adresse, date de naissance, numéro de sécurité sociale, données médicales (corrections, …). Plus de 350.000 factures étaient accessibles avant l’intervention de la CNIL. Il n’était pas utile d’être client et d’avoir un compte pour lire les  données. L’url d’une facture suffisait !

Un contrôle sur place dans les locaux de la société OPTICAL CENTER, durant lequel elle a reconnu que son site internet présentait bien un défaut de sécurité. En l’espèce, le site « www.optical-center.fr » n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société.

La Présidente de la CNIL désigne un rapporteur. Ce dernier engage une procédure de sanction à l’encontre de la société OPTICAL CENTER.

250.000 euros d’amende

La formation restreinte de la CNIL vient de prononcer une sanction pécuniaire d’un montant de 250.000 euros, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.

Tout en soulignant la réactivité de la société dans la résolution de la faille, la formation restreinte a considéré que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société. Elle a ainsi estimé que la mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle.

La formation restreinte a également découvert que la société n’était pas sans ignorer les risques liés à un défaut de sécurisation de son site dès lors qu’une sanction de 50 000 euros avait déjà été prononcée en raison d’un défaut de sécurité en 2015.

Compte tenu des données sensibles rendues librement accessibles. Du nombre de clients impactés et du volume de documents (plus de 334 000). Contenus dans la base de données de la société à la date de l’incident. La formation restreinte a décidé de rendre publique sa décision.

Pourquoi ZATAZ a alerté la CNIL, en juillet 2017 ? Le protocole ZATAZ, comme l’explique son mode d’emploi et cela depuis plus de 20 ans, contacte d’abord d’abord l’entreprise. Mails, tweets, … Si aucune réponse, afin de faire corriger (je rappelle que c’est bénévole, gratuite, …), la CNIL est dans la boucle.

ZATAZ a déjà permis à la CNIL de faire condamner Hertz, Darty, Le Party Socialiste pour un montant global, pour le moment, de plus de 350.000€ ! Mon petit doigt me dit que le prochain sera un grand groupe Français dédié au tourisme… et plus d’un million de clients concernés.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Pingback: ZATAZ Rétrospective 2018 : le web, plus troué qu'un gruyère ? - ZATAZ

  2. Pingback: ZATAZ Confidentialité : Amende de 180 000€ pour fuite de données - ZATAZ

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.