C'est la première amende conséquente pour défaut de sécurité sur un site web exigée par la CNIL et elle concerne une entreprise française spécialisée dans l'optique et l'audition : Optical Center. Pourquoi et comment les données personnelles des clients d'une entreprise peuvent-elles se retrouver accessibles d'un simple clic dans un navigateur… par la terre entière ?
La décision de
la CNIL (Commission nationale informatique et libertés) a été prise peu de temps avant la mise en œuvre du Réglement général de protection des données personnelles (RGPD), sinon, l'entreprise Optical Center aurait pu payer jusqu'à 20 millions d'euros — 4% du chiffre d'affaire du groupe — au lieu des 250 000€ exigés aujourd'hui. Ce qui est reproché à l'entreprise est très grave, et même si le défaut de sécurité sur son site web a été corrigé le lendemain de sa découverte, la CNIL a estimé qu'elle ne pouvait pas le laisser sans sanctions. Il faut dire que le "défaut" en question était énorme et que l'entreprise avait déjà été condamnée en 2015 à 25 000€ pour le même type de manquement.
Défaut de sécurité ou faille exploitée, ce n'est pas la même chose
Le site web d'Optical Center offrait l'accès direct par navigateur — sans vérification d'authentification — à 334 000 factures de ses clients. Autrement dit, n'importe qui pouvait télécharger les documents en question pour peu qu'il tape l'adresse web y donnant l'accès (ou qu'un moteur de recherche l'y incite via un lien hypertexte après une recherche avancée ?). Ces factures contenaient les noms-prénoms des clients mais aussi leur adresse postale, leurs coordonnées téléphoniques et pour certains, leur numéro de sécurité sociale et des informations médicales. Selon la CNIL, qui a été informée d'une "
fuite de données conséquente" en juillet 2017 du site
www.optical-center.fr, "le site n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société".Le site web d'optical Center n'a donc pas été piraté : la fuite de données provenait d'un défaut d'administration du site. Ce qui est très différent d'un piratage exploitant une "faille" du serveur — requérant de contourner la sécurité établie, de pénétrer par un moyen technique dans le système distant afin d'y copier des fichiers. Dans l'affaire Optical Center, aucun besoin de prouesses techniques pour copier les 334 000 factures : l'accès aux factures des autres clients était direct, comme pour accéder à ses propres factures.
De la nécessité de sécuriser les sites Internet…
"L'affaire Bluetouff" (du pseudonyme du co-fondateur du journal Reflets, Olivier Laurelli, qui permit alors de publier des documents de l'ANSES accessibles par une recherche Google) — dont le jugement en cassation a été rendu en 2015 — renvoie à cette problématique du défaut de sécurité et d'accès sans authentifications à des documents "censés être protégés"… et qui ne le sont pas. L'Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du travail (ANSES) avait alors porté plainte pour la publication sur
le journal Reflets de documents de travail stockés sur son site web portant sur les nano-particules. Et téléchargés par Bluetouff.
Les documents étaient accessibles via une recherche Google, ils étaient donc publics, mais l'ANSES "pensait" qu'ils étaient protégés par un identifiant et mot de passe sur son site. Le site web de l'agence rendait donc public à l'époque — sans le savoir — des documents censés être… privés ! Si Bluetouff — qui télécharga alors plus de 7 Go de documents — a été relaxé en première instance alors que l'ANSES abandonnait ses poursuites, le ministère public faisait lui appel, gagnait, et la Cour de cassation confirmait le jugement : «
blutouff s'est maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire ».
Le défaut de sécurité du site de l'ANSES a été reproché à celui qui s'y est maintenu par
sa connaissance d'une protection… qui ne fonctionnait pas… Que se passerait-il aujourd'hui si un site gouvernemental ne protégeait pas les données des utilisateurs — ou des données sensibles — qu'il contient et qu'elles soient accessibles par tout un chacun ? Il y a quelques jours un site dépendant du ministère des finances n'était toujours pas sécurisé : les responsables ont été informés par la source qui nous a alerté de ce défaut de sécurité que nous avons constaté et ont pour l'heure empêché l'accès au site, mais le défaut de sécurité n'était pas récent et renvoie à une question centrale : combien de sites web contenant des données personnelles sensibles ne sont-ils pas correctement sécurisés en France ?
La CNIL tape du poing sur la table
L'amende de 250 000€ à l'encontre d'Optical Center est un coup de semonce qui devrait faire réfléchir les entreprises sur leurs obligation de sécurisation de leurs sites web. La mise en place de procédés d'accès sécurisés, leur vérification par des administrateurs, sont le b.a.b.a de la sécurité informatique — dont celle des sites internet — et il est surprenant que des entreprises récueillant des informations sur leurs clients ne soient pas en mesure de faire le minimum à ce niveau là.
Ce constat est inquiétant, surtout pour des entreprises aux chiffres d'affaire importants et dont les moyens sont parfaitement suffisants pour s'assurer une "qualité normale" de sécurité de leurs sites internet. La raison de ces défauts de sécurité réside d'ailleurs sûrement là : payer des gens compétents est central en sécurité informatique et la culture des entreprises françaises, de ce point de vue là, ne semble pas être encore à la hauteur des enjeux. Les salaires des techniciens sont faibles, leur nombre souvent insuffisant, les responsables sécurité des systèmes d'information (RSSI) parfois inexistants. Les "économies" des entreprises (et des structures publiques ?) sont souvent effectuées sur le dos de la sécurité des SI, ce qui fait de la France, en matière de protection des données personnelles, un potentiellement très mauvais élève. Dernier problème : les lanceurs d'alerte en sécurité informatique sont la plupart du temps attaqués en justice en France, plutôt qu'écoutés. Pas certain que dans ces conditions la sécurité des sites web n'y gagne beaucoup…