En 2016, une société gérant une plate-forme de partage de vidéos en ligne sur Internet a fait l’objet d’une cyberattaque visant 82,5 millions d’adresses courriels et 18,3 millions de mots de passe chiffrés stockés dans sa base de données.
La Commission nationale de l’informatique et des libertés (CNIL) a opéré un contrôle en décembre 2016 dans les locaux de cette société et des investigations supplémentaires ont été réalisées en 2017 et 2018. Il est alors apparu que, pendant plusieurs mois, des pirates informatiques ont accédé à distance aux identifiants d’un compte administrateur de la base de données de la société stocké en clair sur une plate-forme de développement. Cela leur a permis d’extraire les données des utilisateurs.
Dans sa délibération n° SAN-2018-008 du 24 juillet 2018, la formation restreinte de la CNIL conclut que la plate-forme a manqué à l’obligation de préserver la sécurité des données figurant à l’article 34 de loi n° 78-17 du 6 janvier 1978 dite "loi informatique et libertés" du fait de défaillances concernant le mot de passe du compte administrateur et l’encadrement des accès externes à l’administration du système d’information.
D’une part, la CNIL indique qu’un mot de passe d’un compte administrateur, s’agissant du moyen d’authentification à un système restreint, ne doit jamais être contenu dans un fichier non sécurisé, même à des fins de test. En l’espèce, le mot de passe aurait dû être conservé dans le réseau interne, injecté dans le code source en temps réel pour effectuer les tests, et supprimé après chaque phase de test.
D’autre part, la CNIL considère que la société aurait dû sécuriser les connexions à distance, par la mise en œuvre de mesures élémentaires en matière de sécurité pour assurer l’intégrité du réseau. Celles-ci consistent, au minimum en :
- l’installation d’un système de filtrage des adresses IP, ce qui permet de fiabiliser les connexions par l’identification des adresses IP autorisées et en conséquence l’exécution des tâches ordonnées depuis ces seules adresses ; ou
- la mise en place d’un réseau privé virtuel (VPN) qui permet de sécuriser les échanges de données et d’authentifier les utilisateurs.
Enfin, la CNIL précise que l’article 34 de la loi informatique et libertés, en laissant au responsable le choix des mesures à mettre en œuvre pour assurer la sécurité du traitement, ne méconnaît pas le principe de la légalité des délits et des peines selon lequel on ne peut être condamné qu’en vertu d’un texte clair et précis. Elle estime, en d’autres termes, que la fin justifie les moyens.
Tout en considérant le défaut de sécurité de la base de données, la formation restreinte a aussi relevé que l’attaque subie était sophistiquée, que le risque d’atteinte à la vie privée des personnes concernées était limité du fait de la nature des données piratées, et que la société avait coopéré avec la CNIL. En conséquence, elle a finalement décidé d’infliger à la société une amende 50 000 euros à titre de sanctions, s’écartant de la préconisation du rapporteur qui proposait un montant minimal de 100 000 euros. Cette amende aurait pu être considérablement plus élevée si l’incident de sécurité avait eu lieu après l’entrée en vigueur du RGPD, qui prévoit un montant pouvant s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent d’une entreprise, la somme le plus élevée devant être retenue.
Eu égard au nombre élevé de données concernées par l’incident de sécurité survenu et à la multiplication de ce type d’incidents de manière générale, la CNIL a décidé de rendre publique sa décision, s’inscrivant ainsi dans une logique de sensibilisation des utilisateurs aux risques liés aux problématiques de sécurité des données.
