La CNIL vient de prononcer une sanction de 250 000 euros à l’encontre de l’opérateur de Martin Bouygues, "pour avoir insuffisamment protégé les données de clients B&You".
Un contrôle a par la suite été réalisé dans les locaux de l’opérateur confirmant l’existence d’une vulnérabilité. Cette dernière permettait en réalité d’accéder à des contrats et factures de clients B&You par la simple modification d’une adresse URL sur le site web de Bouygues Telecom. Au total, ce défaut de sécurité a impacté les données de plus de deux millions de clients B&You
L’opérateur a fort heureusement corrigé cette faille très rapidement mais la formation restreinte de la CNIL a décidé de le sanctionner à hauteur de 250 000 euros, "considérant que la société avait manqué à son obligation d’assurer la sécurité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés."
La Commission a par ailleurs constaté que le défaut de sécurité "trouvait son origine dans l’oubli de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins de ces tests." Elle a estimé néanmoins qu’il appartenait à la société d’être particulièrement vigilante quant à l’effectivité de son mécanisme d’authentification, compte tenu de son choix de ne pas mettre en place de mesure de sécurité complémentaire.
J'adore l'image d'illustration de la news qui contraste avec le contenu de cette dernière :)
Voilà une sanction dissuasive! (ironie inside!)
Non mais sérieux, même pas un euro par mois et par client alors que la faille a perduré 2 ans selon France Info...
Franchement, c'est un encouragement à continuer de même dans les années à venir au lieu de bien faire le boulot du premier coup.
Et BIM !
Bravo pour ceux qui ne respectent rien..., mais cette sanction...c'est vraiment du foutage de gueule !
Ils doit bien rigoler Martin....
C'est vrai que ça n'est pas une grosse amende. Mais symboliquement cela a un effet quand même, je pense.
De toute maniere ils ne paieront pas enfin je suppose que c'est pour tous pareils
mieux que les journaleux
et permet de comprendre la faille
A la suite du signalement, les équipes de la société ont reproduit l’incident : les adresses URL composées comme suit
https://www.bouyguestelecom.fr/archived/index/printcontract/archived_id/X, où X représente un nombre entier, permettaient d’afficher le contrat de souscription d’un client. À partir de cette adresse URL, et en modifiant la valeur de X , il était possible d’afficher le contrat d’un autre client.
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037856073&fastReqId=2004200385&fastPos=1
Assez dingue, comme faille ! La SSII qui a développé le site devrait changer de métier.
Je suis vraiment très étonné, vu la complexité de se connecter programmatiquement à son espace client Bouygues.
Vraiment symbolique , je suis sur que l’enquête et la procédure à coûté plus cher aux contribuables
Des failles de sécurité il y en a eu bien d'autres, jamais sanctionnées.
Par exemple sur les anciennes BBox le code wifi par défaut, inchangé par la plupart de leurs clients car supposé sécurisé, était calculable à partir du nom du réseau généré par la box...
Ou bien chez Orange, j'avais pu accéder au compte d'un collègue qui s'était identifié sur SON ordinateur, à partir du mien, simplement en allant sur la page abonné, à l'évidence tous les ordinateurs du réseau local avaient l'accès...
Jamais vu de sanction pour ça, alors que c'était autrement plus grave que d'accéder en lecture aux données de facturation.
En réalité les deux sont probablement liés... Plus l'équipe projet est nulle, et plus le résultat sera mal conçu et difficile à utiliser, et en même temps plus ils vont faire de boulettes.
Soit a 0,125€ pas client, le prix de l amende est inférieure a la valeur des données clients.
Bougyues soit bien rigoler avec une opération rentable.
C est beau la pseudo-sécurité de tous ces sites lamentables vendant nos données et en réclamant tjrs plus pour soit disant des conditions plus sûre....
Mail par ci
Téléphone par là
Empreinte tant qu à faire
Et un de ces jours reconnaissance vocale ou adn mais en réalité croire a leur sécurité c'est accepter d' être violé et distribué a tout va.
Hier encore Amazon avouait avoir perdu mes données sur le net
Mais alors pourquoi en collecter autant quand on est INCOMPETENT !?! Que ça se considère comme des grosses firmes mais ce ne sont que des gros nuls. Hallucinant !
Whaouuuuu....!!!! 0,125€ par abonné....de qui se moque t'on ?????
On voit vraiment l'énorme l'intéret que CNIL porte à la sécurité !!!!!
Enfumage !!!!
250 000 euros, c'est de la menue monnaie pour Martin :)
Même avec ses abonnés à 5 euros ca le fait MDR !
Ça pourrait avoir des retombée négatives sur l'emploi!!
Il ne faut donc pas frapper fort!!!Pauvres clients!!!
Tout à fait et pas que !!!Il doit aussi en profiter pour narguer hein!!!