La CNIL[1] a sanctionné la société BOUYGUES TELECOM, le 26 décembre 2018, pour un défaut de sécurité sur son site Internet, « BOUYGUESTELECOM.FR ».

Le fournisseur d’accès à Internet français donnait la possibilité à ses clients de se connecter à leur espace personnel sur « BOUYGUESTELECOM.FR » pour y consulter notamment leur contrat ou leurs factures. Plus de deux millions de contrats ne nécessitaient cependant pas d’authentification et pouvaient être consultés simplement en modifiant l’identifiant incrémental situé au bout de l’adresse.

Ces contrats sont restés librement accessibles pendant plus de deux ans et contenaient les données personnelles des clients, notamment : leur nom, prénom, date de naissance, adresse e-mail, adresse physique et leur numéro de téléphone.

L’opérateur a indiqué que les contrats étaient accessibles, car « le code informatique rendant nécessaire l’authentification au site web www.bouyguestelecom.fr avait été désactivé », et « en raison d’une erreur humaine commise par une personne agissant pour le compte de la société, ce code n’a pas été réactivé à l’issue des tests réalisés ».

La CNIL a rappelé à la société BOUYGUES TELECOM qu’elle devait « préserver la sécurité des données et, notamment, empêcher […] que des tiers non autorisés y aient accès ». La Commission considère, qu’en faisant le choix de ne pas utiliser des mécanismes complémentaires pour limiter l’accès aux contrats, en utilisant des adresses imprévisibles par exemple, la société devait être particulièrement vigilante sur le bon fonctionnement de l’authentification.

L’opérateur a affirmé « avoir réalisé de nombreux audits et tests de sécurité afin de mettre à l’épreuve la protection des données à caractère personnel qu’elle traite ». Ces tests n’ayant cependant pas permis de découvrir la vulnérabilité, la Commission estime que ces tests « n’étaient pas adaptés » et donc « inefficaces en l’espèce », et que des « mesures de revue automatisée du code adaptées aux spécificités du système […] et une revue manuelle de la partie du code en charge de l’authentification auraient permis de découvrir la vulnérabilité et d’y remédier ».

Une amende de 250 000 euros a été prononcée à l’encontre de la société BOUYGUES TELECOM, soit 0,005 % du chiffre d’affaires[2] de l’entreprise.

Lire :

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. La société BOUYGUYES TELECOM déclare réaliser un chiffre d’affaires de plus de 5 milliards d’euros en 2017 pour un résultat net de 260 millions d’euros (source : délibération de la CNIL).