La CNIL a sanctionné la société ACTIVE ASSURANCE, le 18 juillet 2019, pour un défaut de sécurité sur son site Internet, « ACTIVEASSURANCES.FR », et un manque de robustesse des mots de passe.

Le courtier en assurances proposait aux internautes de souscrire des contrats d’assurance auto sur son site Internet. Tous les contrats générés, actifs ou résiliés, ainsi que les éventuels justificatifs fournis par les clients, ne nécessitaient cependant pas d’authentification et pouvaient être consultés librement sur Internet, simplement en modifiant l’identifiant situé à la fin de l’adresse. Certains moteurs de recherche indexaient même ces documents, ce qui rendait leur accès particulièrement facile.

Ce défaut de sécurité était présent depuis 2014, année de conception du site Internet, jusqu’à l’intervention de la CNIL, en juin 2018. Un client de l’assureur, qui avait repéré cette faille et alerté la Commission, avait toutefois tenté d’alerter l’assureur trois mois plus tôt, « en vain ».

Au total, les contrats de près de 150 000 clients de la société étaient consultables sur Internet ainsi que 144 890 copies de carte grise, 137 776 copies de permis de conduire, 119 940 RIB, 119 517 devis et 36 068 copies de déclarations de cession d’un véhicule. Ces documents contenaient un grand nombre de données personnelles, notamment : le nom et prénom des clients, leur adresse postale, adresse e-mail, date et lieu de naissance, mais aussi des éléments relatifs à une éventuelle suspension de permis.

La CNIL a rappelé à la société ACTIVE ASSURANCE que des moyens efficaces devaient être mis en œuvre pour garantir la confidentialité des données des clients[1], conformément aux exigences du RGPD. Une « mesure d’authentification et une gestion des droits d’accès permettant de s’assurer que chaque utilisateur souhaitant accéder à un document était habilité à le consulter » pouvait, par exemple être implémentée, acompagnée d’un fichier « robots.txt »[2] pour limiter l’indexation par les moteurs de recherche. La Commission estime que ces « mesures élémentaires de sécurité », « qui ne nécessitaient pas de développements techniques importants », auraient pu éviter cette violation « particulièrement important[e] » de données à caractère personnel.

Par ailleurs, la CNIL reproche également au courtier le manque de robustesse des mots de passe de ses clients. Le site Internet de la société imposait que les mots de passe correspondent à la date de naissance des personnes, sans possibilité de le modifier. Ce mot de passe était même envoyé, « en clair », par e-mail, aux clients, lors de la création de leur compte. La Commission estime, d’une part, que cela « ne permet pas d’assurer la sécurité des données traitées par la société et d’empêcher des attaques par force brute » et, d’autre part, que « l’envoi d’un courriel non chiffré peut conduire à son interception par toute personne écoutant le réseau et à la prise de connaissance des informations qu’il contient ».

Une amende de 180 000 euros a été prononcée à l’encontre de la société ACTIVE ASSURANCES, soit 1,68 % du chiffre d’affaires[3] de l’entreprise.

Lire :

Notes et références

  1. Le RGPD demande de prendre des « mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-2). La société ACTIVE ASSURANCES devait donc prendre des mesures efficaces, pour garantir la confidentialité des données personnelles de ses clients.
  2. Les éditeurs de sites Internet peuvent déposer un document intitulé « robots.txt » à la racine de leur site pour donner des indications aux robots des moteurs de recherche. Un tel document permet notamment d’indiquer que certaines pages du site ne devraient pas être indexées, c’est-à-dire pas être référencées. Le document « robots.txt » du site de la société ACTIVE ASSURANCES ne contenait manifestement pas d’indication permettant d’éviter que les contrats des clients ne soient indexés. Cette mesure aurait permis de rendre plus difficile la découverte des adresses pointant vers les contrats des clients.
  3. Le chiffre d’affaires de la société ACTIVE ASSURANCES a été retiré de la délibération de la CNIL, mais la délibération indique qu’une amende de 375 000 euros était initialement proposée (§14) et que ce montant représenterait 3,5 % du chiffre d’affaires de la société (§63). Ces informations permettent de déduire que la société réalise un chiffre d’affaires de 10,7 millions d’euros.

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données