L’hébergeur américain GoDaddy a annoncé, dans un communiqué laconique, qu’un attaquant avait réussi à s’introduire dans ses systèmes et avait réussi à dérober les données de millions de ses clients, leurs mots de passe et les clés permettant de sécuriser les communications.

J’explique, dans cet épisode, tout ce que ce communiqué nous apprend sur le fonctionnement des systèmes de GoDaddy et les conséquences de cet incident aussi bien pour les clients de GoDaddy que pour la société elle-même, notamment vis-à-vis du RGPD.

Écouter l'épisode :

Autres méthodes proposées :

Vous pouvez retrouver tous les épisodes et vous abonner au Podcast sur : Apple Podcast, Spotify ou en intégrant le flux RSS à votre application préférée.

Musique réalisée par Mix Nguyên.

La retranscription de ce qui est dit dans l’épisode est proposée plus bas pour ceux qui ne souhaitent pas ou ne peuvent pas écouter la version audio.

Retranscription de l’épisode

Bonjour et bienvenue dans le podcast d’eWatchers.org. L’idée de ce podcast est d’approfondir certains sujets qui ont été abordés sur le site, en lien principalement avec le fonctionnement du Web, la cybersécurité et la protection des données.

Dans cet épisode, on va parler de la sécurité des systèmes informatiques de l’hébergeur américain GoDaddy, car la société a publié un communiqué, une semaine avant l’enregistrement de cet épisode, pour indiquer qu’un attaquant avait réussi à s’introduire dans leurs systèmes et avait réussi à dérober une partie des données de leurs clients.

On va décrypter ensemble le communiqué de GoDaddy et je vais vous expliquer tout ce qu’il nous permet d’apprendre sur le fonctionnement de leur système informatique, ou plutôt sur les dysfonctionnements de leurs systèmes informatiques. On va aussi voir les conséquences de cet incident, aussi bien pour les clients de GoDaddy que pour la société elle-même. Je parlerai notamment de ce qui peut être reproché à GoDaddy, vis-à-vis du RGPD, et de ce que risque la société.

On va voir que GoDaddy n’est pas sans reproche et que la sécurité des données de ses clients n’est manifestement pas leur priorité.

Je m’appelle Morgan Schmiedt et vous écoutez un épisode d’eWatchers.org.

GoDaddy informe ses actionnaires en priorité

Pour commencer, parlons un instant de GoDaddy. GoDaddy est une entreprise américaine publique, c’est-à-dire une entreprise cotée en bourse – et ce détail aura de l’importance plus tard.

La société GoDaddy propose aux particuliers et aux professionnels des services en ligne pour leur permettre d’avoir une présence en ligne, c’est-à-dire qu’ils offrent la possibilité d’acheter des noms de domaine – des adresses Internet –, mais aussi des offres pour créer des sites Internet plus ou moins facilement. Ils proposent par exemple – et c’est justement le sujet de l’incident – une offre pour créer un site Internet avec WordPress ; WordPress étant un CMS, Content Management System, un logiciel de gestion de contenu extrêmement connu – l’un des plus populaires sur Internet –, qui permet de créer un site Web.

Cette société GoDaddy a publié, le 17 novembre 2021, un communiqué pour indiquer qu’un incident de sécurité avait eu lieu sur ses systèmes et que les données des clients avaient notamment été dérobées.

La première chose intéressante à noter à propos de ce communiqué est qu’il a été transmis à la SEC – la Security Exchange Commission –, l’agence américaine en charge des marchés financiers, l’équivalent de l’AMF, l’Autorité des Marchés Financiers, en France.

D’un point de vue de l’Européen que je suis, le fait de communiquer une fuite de données personnelles en priorité à ses actionnaires, par le biais de la SEC est, à la fois, intéressant et surprenant. Laissez-moi vous expliquer pourquoi.

Il faut savoir que dans les pays de l’Union européenne, lorsqu’il y a un incident sur les données personnelles de citoyens européens, on ne peut pas faire ce qu’on veut. Il y a un texte qui s’appelle le RGPD, le Règlement Général sur la Protection des Données, qui encadre ce qu’on peut faire et ce qu’on ne peut pas faire lorsqu’on collecte ou lorsqu’on traite des données personnelles. Lorsqu’il y a un incident, comme cela a été le cas pour GoDaddy, ce fameux RGPD demande, par exemple, deux choses : que l’autorité de contrôle du pays soit informée – la CNIL pour la France –, et que les victimes, les personnes, soient informées.

Aux États-Unis – parce que GoDaddy est une société américaine –, il n’y a pas d’équivalent à ce RGPD à proprement parler, comme il n’y a pas d’équivalent à la CNIL, c’est-à-dire une autorité dédiée à la protection des données. Les sociétés comme GoDaddy, lorsqu’un incident arrive, n’ont donc pas nécessairement un processus particulier à suivre. Ils n’ont pas forcément l’obligation d’informer les victimes sous un certain délai, etc. Résultat : lorsqu’un incident arrive, GoDaddy décide d’informer en priorité ses actionnaires par le biais de la SEC, avant même que les victimes soient informées et avant même que les autorités, probablement, ne soient informées.

À vrai dire, je ne trouve pas cela forcément mal. C’est même le contraire que je trouve anormal. Ces sociétés ont d’ailleurs l’obligation de communiquer et d’informer leurs actionnaires, qui sont les propriétaires de la société. La société les informe d’un événement qui s’est passé, en l’occurrence, un incident qui est intervenu sur les données des clients. En France, c’est quelque chose qui ne se fait pas nécessairement, pour des raisons que je n’explique pas forcément. À ce sujet, j’ai d’ailleurs un exemple à vous donner. Prenons l’exemple de Carrefour[1].

Carrefour a été sanctionné par la CNIL, au mois de décembre 2020, pour de nombreux manquements au RGPD. Cela veut dire que la façon dont la société a traité les données personnelles de leurs clients était contraire à la règlementation, était illicite.

Dans cette sanction, on apprend notamment que Carrefour a connu une attaque informatique qui a conduit à la divulgation de données personnelles. Il s’avère qu’un attaquant avait réussi à s’introduire dans les systèmes de Carrefour et avait réussi à se connecter aux comptes de milliers de clients de Carrefour. Cette information, c’est-à-dire le fait que les données personnelles des clients avaient éventuellement été obtenues par un attaquant, on l’apprend uniquement lorsque le délibéré de la CNIL est rendu public – et je dois vous avouer qu’on a eu de la chance que la CNIL a décidé de rendre public ce communiqué, car c’est quelque chose qu’ils ne font pas souvent, c’est même extrêmement rare. La majorité des décisions de la CNIL sont privées et on n’y a pas accès. Pour Carrefour, la CNIL avait décidé de rendre la décision publique, car les personnes concernées – les victimes – étaient relativement nombreuses. Ils ont donc décidé de rendre public la décision, mais c’est quelque chose qu’ils ne font pas toujours. Cela veut dire que, sans décision publique, les clients de Carrefour, mais aussi les actionnaires de Carrefour, n’auraient jamais su qu’un incident était intervenu dans les systèmes de Carrefour, contrairement à GoDaddy, qui a émis un communiqué à la SEC et qui a donc informé ses actionnaires.

Je ne cherche pas nécessairement à défendre les actionnaires des sociétés – de loin pas –, mais je trouve cela normal que, lorsqu’il y a un incident, les actionnaires soient informés, même si l’AMF n’a, visiblement, rien à redire à cela. À mon sens, lorsqu’on apprend que Carrefour a eu un incident et n’a pas déclaré cette information à ses actionnaires, je pense que l’AMF, au même titre que la CNIL, devrait sanctionner Carrefour et leur dire : vous auriez dû, comme cela est votre obligation en tant qu’entreprise publique, informer vos actionnaires, donc on vous sanctionne également.

GoDaddy : la sécurité catastrophique de ses systèmes

Parlons maintenant du contenu de ce communiqué. J’ai enlevé certaines parties qui n’étaient pas particulièrement intéressantes, mais, de toutes manières, le communiqué est relativement laconique :

« Le 17 novembre 2021, nous avons découvert un accès non autorisé d’un tiers à notre environnement d’hébergement WordPress. Voici le contexte de ce qui s’est passé et les mesures que nous avons prises, et que nous prenons, en réponse :

Nous avons identifié une activité suspecte dans notre environnement d’hébergement WordPress et avons immédiatement commencé une enquête avec l’aide d’une entreprise spécialisée et avons contacté les forces de l’ordre. […] »

Jusque-là, tout ce qui a de plus classique. Les choses intéressantes arrivent maintenant.

« En utilisant un mot de passe compromis, un tiers non autorisé a accédé au système de test de notre plateforme WordPress.

Après avoir identifié cet incident, nous avons immédiatement bloqué le tiers non autorisé de notre système. Notre enquête est en cours, mais nous avons déterminé que, à partir du 6 septembre 2021, le tiers non autorisé a utilisé la vulnérabilité pour accéder aux données suivantes :
- jusqu’à 1,2 million de clients WordPress actifs et inactifs ont vu leur adresse électronique et leur numéro de client exposés. […]
- le mot de passe initial de l’administrateur WordPress […] a été exposé. […]
- […] les noms d’utilisateur et mots de passe sFTP et de la base de données ont été exposés. […]
- […] la clé privée SSL a été exposée. […]

Notre enquête est en cours et nous contactons directement tous les clients concernés avec des détails spécifiques. […]
Nous sommes sincèrement désolés de cet incident et de l’inquiétude qu’il suscite chez nos clients. Nous, dirigeants et employés de GoDaddy, prenons très au sérieux notre responsabilité de protéger les données de nos clients et ne voulons jamais les laisser tomber. Nous tirerons les leçons de cet incident et nous prenons déjà des mesures pour renforcer notre système avec des couches de protection supplémentaires. »

Il y a plein de choses à dire. On va les prendre une par une et on va voir qu’il y a un certain nombre d’informations qui sont explicites, mais il y en a aussi beaucoup qui sont implicites.

Commençons par la cause du problème : « En utilisant un mot de passe compromis, un tiers non autorisé a accédé au système de test de notre plateforme ».

Ce que cela veut dire – ce que vous devez comprendre – c’est que les systèmes informatiques de GoDaddy – le compte qui a été compromis – étaient protégés uniquement par un simple mot de passe.

Lorsqu’on souhaite protéger des informations sur Internet et qu’on a un compte qui permet d’accéder à des informations personnelles, notamment des informations particulièrement sensibles – comme c’est le cas ici avec GoDaddy ; on parle quand même de millions de clients, on parle de l’accès aux mots de passe, on parle des clés SSL –, on ne peut pas juste protéger le compte avec un simple mot de passe, avec la simple connaissance d’un mot de passe. Il existe d’autres techniques[2] comme les applications d’authentification[3] ou les clés de sécurité qui permettent de renforcer cette sécurité et de ne faire reposer la sécurité uniquement sur la connaissance d’un mot de passe, mais qui nécessite aussi de posséder physiquement un appareil, comme une clé de sécurité.

Dans le cas de GoDaddy, il faut rappeler que la société est spécialisée dans les services en ligne. C’est son cœur de métier. Ce n’est pas simplement une activité annexe comme un hôtel qui peut avoir une présence sur Internet. Non pas que cela justifie qu’un hôtel ait ce genre de problème, mais c’est encore plus inexcusable qu’un acteur majeur d’Internet, qui devrait, normalement, être pleinement conscient des risques de cyberattaque – des risques à être sur Internet – ne prenne pas les mesures basiques, c’est-à-dire ne sécurise pas l’accès de ses employés. Il est impensable que n’importe quel compte qui accède aux systèmes informatiques de GoDaddy, de près ou de loin – qui accède aux données des clients de GoDaddy – soit uniquement protégé par un simple mot de passe. C’est une faute de leur part et c’est, à mon sens – comme on va le voir dans un instant – contraire au RGPD, à l’obligation de sécuriser les données.

Passons à la deuxième chose – je cite le communiqué : « le 17 novembre 2021, nous avons découvert un accès non autorisé d’un tiers […] Notre enquête est en cours, mais nous avons déterminé que, à partir du 6 septembre 2021, le tiers non autorisé a utilisé la vulnérabilité pour accéder aux informations des clients. ».

Ce qu’il faut comprendre de cette phrase, c’est que l’attaquant a donc accédé aux systèmes de GoDaddy au mois de septembre et a continué d’accéder aux systèmes pendant trois mois. Pendant trois mois, il a pu se balader dans leurs systèmes sans que GoDaddy s’aperçoive de quoi que ce soit.

Ce qui est fait normalement – pour ceux qui ne sont pas forcément familiers avec le fonctionnement des systèmes informatiques –, c’est que les systèmes génèrent des logs, c’est-à-dire qu’on fait en sorte que le système enregistre – garde trace – des événements qui sont réalisés par tous ceux qui sont connectés sur le système. Cela permet deux choses :

  • de comprendre ce qui se passe dans le système – et c’est d’autant plus important lorsque le système grandit ; on peut imaginer que, dans le cas de GoDaddy, le système est relativement large et complexe ;
  • de pouvoir revenir sur les événements à postériori pour essayer de voir un éventuel comportement anormal.

Pour revenir à GoDaddy, cela est difficilement compréhensible qu’une personne non autorisée puisse se balader dans le système pendant trois mois, exporter toutes les données des clients, sans que cela soit détecté par les systèmes de l’entreprise. Je pense que des mécanismes auraient dû alerter la présence de l’individu, même si, à vrai dire, cela est relativement compliqué à mettre en place, surtout lorsque système est grand.

Passons à la troisième chose – je cite encore une fois le communiqué : « le mot de passe initial de l’administrateur WordPress a été exposé [et] les noms et mots de passe sFTP et de la base de données des utilisateurs ont été exposés ».

Ce point est probablement le pire. En disant cela, GoDaddy indique que les mots de passe de ses clients étaient stockés en clair, ou dans une forme pouvant être aisément lue. C’est tout simplement scandaleux et ce n’est pas digne d’un hébergeur professionnel. Ne pas sécuriser les mots de passe des personnes est contraire à toutes les règles élémentaires de sécurité. Les mots de passe ne doivent jamais être enregistrés tels quels – en clair. On stocke normalement ce qu’on appelle des empreintes des mots de passe. Ces empreintes sont une série de caractères générés par des fonctions mathématiques – cryptographiques – qui permettent, justement, d’éviter, comme cela est le cas pour GoDaddy, lorsqu’une personne est malintentionnée – que ce soit le personnel de GoDaddy ou une personne extérieure à GoDaddy – que cette personne ne puisse pas retrouver les mots de passe des utilisateurs et les utiliser ; d’autant plus qu’on sait, malheureusement, que les internautes utilisent les mêmes mots de passe partout. Cela voudrait dire que, lorsqu’on obtient le mot de passe de l’internaute, on a de grandes chances de pouvoir se connecter à son compte, mais aussi à ses autres comptes, étant donné que les internautes utilisent les mêmes mots de passe partout. Sur ce sujet, j’ai écrit un article et ai réalisé une vidéo, si vous voulez en savoir plus sur fonctionnement du stockage des mots de passe[4].

Au passage, je vous signale que le Sénat français recourait aux mêmes pratiques l’année dernière. J’ai d’ailleurs déposé une plainte contre le Sénat auprès de la CNIL au début de l’année, car cela est tout aussi inacceptable.

Parlons maintenant du dernier point – je cite une nouvelle fois le communiqué : « la clé privée SSL des clients a été exposée ».

Pour vous permettre de comprendre ce point et de comprendre ce que sont les clés privées, j’ai besoin de vous parler du fonctionnement d’HTTPS et du fonctionnement de la sécurité des sites Internet.

Lorsqu’un internaute visite un site Web, le navigateur de l’internaute récupère la page depuis le serveur de l’éditeur. Pour sécuriser cet échange et pour éviter de permettre à des tiers de consulter le contenu du message qui est transmis entre l’internaute et le serveur, on recommande aux éditeurs d’utiliser HTTPS. Le S de ce protocole HTTPS correspond à SSL, qui est la partie "sécurisée" permettant de chiffrer le contenu de la communication – de sécuriser la communication. Ce protocole SSL, ce S, utilise un chiffrement, c’est-à-dire un mécanisme permettant à l’émetteur de chiffrer le message à envoyer, mais aussi un mécanisme permettant au destinataire de déchiffrer le contenu du message reçu.

Il y a deux grandes familles de chiffrements : les chiffrements symétriques et les chiffrements asymétriques. Les chiffrements symétriques sont les plus basiques. Ils utilisent une clé, qui est connue aussi bien par l’émetteur que le destinataire. Cette clé permet à la fois de chiffrer le message et de déchiffrer le message.

Si on applique ce chiffrement symétrique à un internaute qui voudrait consulter le contenu d’une page Web, cela voudrait dire qu’à la fois le serveur, qui contient la page, et l’internaute, qui veut visiter la page, devraient posséder cette fameuse clé. Ils utiliseraient cette clé à la fois pour chiffrer les messages et pour les déchiffrer de l’autre côté de la ligne.

Ce mécanisme a cependant un problème. Lorsqu’un internaute visite une page Web, le serveur ne peut pas juste simplement lui communiquer cette clé et lui dire "à l’avenir on va chiffrer la communication, donc je te la transmets", car il n’existe pas encore un canal de communication sécurisé. Il ne peut pas juste lui transmettre, en clair, la clé en espérant qu’aucun intermédiaire sur Internet n’intercepte cette clé.

On ne peut donc pas utiliser cette technique pour chiffrer le contenu des communications entre l’internaute et le serveur parce que l’échange de la clé ne peut pas se faire. À la place, on utilise un autre chiffrement un petit peu plus compliqué : le chiffrement asymétrique. Laissez-moi vous expliquer comment cela fonctionne.

Avec un chiffrement asymétrique, il n’y a pas une seule clé qui chiffre et déchiffre le message, mais deux clés : une qui permet de chiffrer le message et une qui permet de déchiffrer le message. Si je souhaite demander à quelqu’un de m’envoyer un message chiffré, je lui communique la clé qui permet de chiffrer le message. Cette clé n’est pas nécessairement secrète et peut être communiquée à toutes les personnes qui veulent m’écrire. C’est pour cette raison qu’on appelle cette clé : la clé publique. À l’inverse, la clé qui permet de déchiffrer les messages, je la garde pour moi et je veux que moi seul aie la capacité de déchiffrer les messages. C’est pour cette raison qu’on l’appelle : la clé privée.

Si on reprend le cas d’un internaute qui voudrait consulter une page Web auprès d’un serveur, au début de la communication, le serveur communique uniquement sa clé publique, en disant à l’internaute : utilise cette clé pour chiffrer le message et uniquement moi, qui possède la clé privée, aura la capacité à déchiffrer le message que tu m’auras envoyé.

Pour revenir à GoDaddy, ce sont ces fameuses clés privés qui ont été dérobées par l’attaquant. L’attaquant qui a dérobé ces clés a donc, au même titre que le serveur, la capacité de déchiffrer les communications, c’est-à-dire la communication entre l’internaute et le site Internet. L’attaquant a donc eu la possibilité, pendant les trois mois où il était à l’intérieur – et on va voir dans un instant que même après, il aura encore cette capacité –, de déchiffrer le contenu des messages des internautes qui étaient envoyés au serveur. Cela veut dire que le protocole HTTPS qui était utilisé pour sécuriser la communication entre l’internaute et le serveur n’avait plus aucun intérêt, car la clé pour déchiffrer les communications était connue par l’attaquant – et dieu sait qui d’autre possédait encore cette clé. Toutes les communications pendant ces trois mois doivent donc être considérées comme compromises, parce que la confidentialité et l’intégralité des messages n’étaient plus garanties, étant donné que quelqu’un d’autre, autre que le serveur, possédait cette clé et l’utilisait éventuellement – on ne peut pas le savoir – pour intercepter les communications et pour écouter ce qu’il se disait.

Je pensais que le point sur le stockage des mots de passe était le pire, mais, à vrai dire, ce point-là est une catastrophe, lorsqu’on pense que GoDaddy a mis trois mois pour s’e rendre contre. C’est juste hallucinant.

Concernant le vol de ces clés privées, GoDaddy dit dans le communiqué – je cite : « nous sommes en train d’émettre et d’installer de nouveaux certificats pour ces clients », c’est-à-dire que GoDaddy va générer de nouvelles clés pour ses clients, les certificats étant l’objet qui englobe des fameuses clés. En revanche, ce que GoDaddy ne dit pas, et ce que j’espère GoDaddy a fait, c’est désactiver les anciens certificats – désactiver les anciennes clés. Le problème est que la désactivation de ces anciennes clés est un processus qui ne fonctionne pas très bien. J’adorerais vous l’expliquer en détails, mais j’ai encore plein de choses à vous dire, donc je vais garder mes explications pour un autre épisode. Ce que vous devez garder, c’est que même dans l’éventualité où GoDaddy désactive ces anciennes clés, il existe toujours une possibilité, surtout à court terme, pour que ces clés soient toujours considérées comme valides par les internautes. Un attaquant peut donc, concrètement, faire un site qui se ferait passer pour le site officiel, avec toutes les garanties, étant donné qu’il possède les clés originales. Ce serait le phishing parfait, car l’internaute n’aurait aucun moyen de se rendre compte qu’il a à faire, non pas au site officiel, mais à un site pirate.

Il y a un dernier point que j’aimerais aborder. Il n’est pas indiqué explicitement dans le communiqué, mais il découle de toutes informations qui ont été dites.

Si on résume la situation de l’incident chez GoDaddy : un attaquant a réussi à obtenir un mot de passe – vraisemblablement d’un employé de GoDaddy – puis a utilisé ce mot de passe pour accéder aux systèmes. Une fois à l’intérieur des systèmes, il a réussi à obtenir les données de 1,2 million de clients, mais aussi leurs mots de passe et les clés privées des clients.

Ce qui n’est pas normal, c’est que le compte, que l’attaquant utilisait, n’avait pas de restrictions particulières et pouvait accéder à toutes les informations. Je pense que c’est anormal pour une société comme GoDaddy qu’il n’y ait pas de limitations sur les comptes qui permettent d’éviter la propagation éventuelle d’un attaquant ou qui permettent tout simplement d’éviter qu’un employé malhonnête puisse récupérer toutes les informations.

Normalement, dans les systèmes informatiques, on met des droits d’accès bien spécifiques et on restreint les droits d’accès au strict minimum pour éviter, justement, qu’une personne malintentionnée – que ce soit volontaire, parce que la personne a décidé d’être malveillante, ou involontairement, parce que son compte est utilisé de façon malveillante – puisse accéder à l’ensemble des données, ce qui n’est visiblement pas fait chez GoDaddy et ce qui n’est pas acceptable.

Je crois que j’ai fait le tour de tous les éléments que contient le communiqué. Avant de conclure, j’aimerais parler des conséquences qu’a cet incident en termes de données personnelles, c’est-à-dire concrètement : est-ce que GoDaddy risque quelque chose vis-à-vis du RGPD ? Et est-ce que les clients français ou européennes de GoDaddy, victimes de cet incident, risquent quelque chose vis-à-vis du RGPD ?

GoDaddy risque gros vis-à-vis du RGPD

Je l’ai dit au début, GoDaddy est une entreprise américaine. Les entreprises non européennes, comme les entreprises américaines, qui traitent des données de citoyens européens, doivent cependant respecter le RGPD au même titre que les entreprises européennes.

Je me suis rendu sur le site Web de GoDaddy pour essayer de voir s’ils avaient une implémentation dans l’un des pays de l’U.E ou s’ils avaient soumis des règles qui permettaient de savoir quel pays – quelle autorité de contrôle – pouvait intervenir. Il s’avère que, dans les garanties qu’ils proposent, GoDaddy a choisi l’Allemagne[5] – visiblement ils ont une entité en Allemagne. L’autorité de contrôle allemande pourrait donc s’autosaisir et demander des comptes à GoDaddy.

J’en profite pour indiquer que la perte de données personnelles n’est pas nécessairement un manquement au RGPD. Une société n’est pas nécessairement sanctionnée si elle perd des données personnelles, que ce soit suite à une cyberattaque ou non. En revanche, ce qui est un manquement au RGPD – ce qui n’est pas autorisé –, c’est un défaut de sécurité, c’est-à-dire si on arrive à prouver que la société n’a pas pris les mesures nécessaires pour sécuriser les données. Dans ce cas, il y a éventuellement un manquement au RGPD qui peut être établi et une sanction – financière ou pas – qui peut être établie.

Il y a deux articles du RGPD qui demandent cela d’une certaine manière :

  • L’article 5-1 du RGPD, qui indique que « les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données, y compris la protection contre le traitement non autorisé ou illicite » ;
  • L’article 32-1 du RGPD, qui indique « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres […] des moyens permettant de garantir la confidentialité, l’intégrité ».

Dans ces deux articles, on a une notion de confidentialité, c’est-à-dire que les sociétés ont l’obligation de prendre les mesures pour garantir la confidentialité des données personnelles qui sont collectées et traitées.

Ces deux articles sont – probablement comme toutes les lois – relativement génériques et sont sujets à interprétation dans le sens où il n’est pas précisé exactement ce qu’on a le droit de faire et ce qu’on n’a pas le droit de faire. La question est donc de savoir :

  • Est-ce que sécuriser un compte d’un employé de GoDaddy uniquement avec un mot de passe est une mesure de sécurité appropriée ?
  • Est-ce que stocker en clair les mots de passe de ses clients, sans moyens cryptographiques, est une mesure de sécurité appropriée ?
  • Est-ce qu’autoriser un compte à accéder aux données de millions de clients, à leurs mots de passe, à leurs clés privées est une mesure de sécurité appropriée ?

À ces trois questions, je crois qu’il est juste de répondre non. Ces mesures ne sont pas des mesures appropriées pour assurer la confidentialité des données vis-à-vis du risque que l’on connait. Malheureusement, mon avis ne compte pas beaucoup. Ce qui importe, c’est l’avis des autorités de contrôle. Étudions donc ce que disent les autorités de contrôle.

Pour avoir étudié un bon nombre de décisions[6] des autorités de contrôle, je peux vous donner quelques précisions sur l’avis et les positions des autorités de contrôle européennes.

En ce qui concerne le fait de sécuriser un compte uniquement avec un mot de passe et le fait de ne pas limiter l’accès des comptes à ce qui est strictement nécessaire, j’ai trouvé une décision de l’autorité britannique, qui a statué au sujet de British Airways[7] que ces deux points étaient contraires au RGPD – ces deux points étaient des manquements à l’article 32 du RGPD.

En ce qui concerne le fait de stocker les mots de passe en clair, je n’ai pas une décision à vous proposer, mais une délibération de la CNIL, qui indique :

« S’agissant des modalités de conservation, la [CNIL] considère que le mot de passe ne doit jamais être stocké en clair. [La CNIL] recommande que tout mot de passe […] devant être stocké sur un serveur soit préalablement transformé au moyen d’une fonction cryptographique non réversible et sûre »

On peut donc considérer que GoDaddy, en stockant les mots de passe en clair de ses clients, a enfreint le RGPD, notamment l’obligation de confidentialité et de sécurité que demande le RGPD.

On pourrait aussi reprocher à GoDaddy l’absence de mesures permettant de détecter des comportements suspects, mais ce point est relativement compliqué et je n’ai pas d’éléments à apporter pour pouvoir juger ce point. Je vais donc le laisser de côté.

Pour avoir manqué à l’obligations de sécuriser les données et l’obligation de confidentialité des données, GoDaddy risque une amende allant jusqu’à 4 % de son chiffre d’affaires mondial[8], c’est-à-dire $132 millions, car GoDaddy a déclaré $3,3 milliards de chiffres d’affaires pour l’année 2020[9]. En réalité, les amendes ne sont jamais aussi élevées et je serai vraiment surpris si l’amende, qui sera éventuellement émise à l’encontre de GoDaddy, était supérieure à 10 millions.

Avant de conclure, j’aimerais faire une parenthèse pour vous dire que, étant donné que les données des sites des clients ont fuité, ces clients – ces victimes – s’ils collectaient, eux, des données sur leurs clients, auront aussi l’obligation de faire des démarches vis-à-vis du RGPD. Imaginons qu’un client possédait une boutique en ligne, ou avait une newsletter et collectait le nom et les adresses e-mails des personnes, toutes ces personnes – qui sont des victimes de GoDaddy – devront aussi : informer l’autorité de contrôle, comme on l’a vu, mais aussi et surtout, informer les victimes – leurs clients – et leur dire "nous avons subi une perte de données", même si, en réalité, la perte de données n’est pas réellement de leur faute, mais celle de GoDaddy, qui agit en tant que sous-traitant.

Cet incident a donc des conséquences sur GoDaddy, sur les clients de GoDaddy, mais aussi sur l’image de marque des clients. Si on reprend l’exemple d’un client de GoDaddy qui a une boutique en ligne, cette boutique aura son image tachée parce que son sous-traitant – en l’occurrence GoDaddy – a failli à sa tache et à ses obligations de sécuriser les données et confidentialité des données.

Ce qui serait réellement intéressant, ce serait que ces clients – les victimes –, après l’éventuelle condamnation de GoDaddy par l’autorité allemande, se retournent contre GoDaddy pour demander un dédommagement, en justifiant que leur image de marque a été ternie et en disant qu’ils ont subi un préjudice. Je trouverais cela entièrement normal et justifié.

GoDaddy : la sécurité n’est pas la priorité

Pour conclure, j’aimerais dire que, ce qui est le plus désolant dans cette histoire, c’est surtout le fait que les clients font appel aux services de GoDaddy en pensant avoir la certitude que leurs données – leur site – seront gérées par des personnes professionnelles et compétentes. C’est manifestement pas le cas. Contrairement à ce que dit GoDaddy dans son communiqué, la sécurité des données des clients n’est visiblement pas leur priorité. Il ne suffit pas de dire des belles phrases types, du style "nous prenons très au sérieux notre responsabilité de protéger les données et ne voulons jamais les laisser tomber". Cette phrase est probablement écrite par des avocats très chèrement payés pour essayer de sauver les meubles, essayer de redorer le blason de la société et essayer de se redonner une image. Il ne suffit pas de dire cela. Il faut agir au quotidien, montrer que GoDaddy souhaite réellement protéger ses clients, qu’il souhaite réellement offrir un service professionnel et que tout cela, ce n’est pas que des paroles en l’air.

Malheureusement, GoDaddy n’a manifestement pas jugé utile d’investir dans la sécurité de leur infrastructure ou d’investir dans la sécurité des données de ses clients. J’espère que les autorités, notamment l’autorité allemande, feront leur travail et feront passer le message à GoDaddy – et à toutes sociétés – que la sécurité n’est pas une option et que, si les mesures de sécurité ne sont pas prises, il y aura des sanctions très sévères. Il n’est pas acceptable qu’une multinationale comme British Airways, pour reprendre l’exemple précédent, ne sécurise pas correctement ses données, mais il l’est encore moins lorsque le cœur de métier de l’entreprise est l’Internet et le fonctionnement du Web.

Je ne peux que vous recommander de ne pas recourir aux services de GoDaddy, pas avant qu’ils montrent clairement qu’ils se soucient de leurs clients et de la sécurité de leurs clients.

Notes et références

  1. La société Carrefour a été sanctionnée par la CNIL pour des manquements au RGPD. Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements »
  2. Il est possible de sécuriser les comptes autrement que par la connaissance d’un mot de passe. Voir « Comment renforcer la sécurité de vos accès et être mieux protégé face aux attaques ».
  3. Le fonctionnement des applications d’authentification est présenté dans l’article : « Utiliser une application d’authentification pour mieux protéger l’accès à ses comptes ».
  4. Le stockage des mots de passe et le fonctionnement des empreintes sont expliqués dans l’article « Ne stockez pas les mots de passe de vos utilisateurs en clair » et dans la vidéo « Comment conserver les mots de passe et éviter qu’un attaquant ne les utilise ».
  5. GoDaddy a choisi de se soumettre aux tribunaux de la République fédérale d’Allemagne (source : GoDaddy, Addenda de traitement de données, clause 18).
  6. Les décisions des autorités de contrôle européennes étudiées sont disponibles sur la page : Analyse des décisions des autorités de protection des données européennes.
  7. La société British a été sanctionnée par l’autorité de contrôle britannique pour avoir, notamment, sécurisé un compte avec un simple mot de passe et ne pas avoir mis en place des mesures permettant de limiter les autorisations des comptes. Voir « La compagnie aérienne BRITISH AIRWAYS sanctionnée pour n’avoir pas suffisamment sécurisé les données personnelles de ses clients ».
  8. Le RGPD autorise les autorités de contrôle à infliger une amende administrative d’un montant maximal de 4 % du chiffre d’affaires annuel de l’entreprise (source : RGPD, article 83-5). Voir « Comment est calculé le montant de l’amende en cas de non-respect du RGPD ? ».
  9. GoDaddy a déclaré un chiffre d’affaires annuel de $3,316 milliards pour l’année 2020 (source : GoDaddy, en anglais).