Une faille était active depuis deux ans lors de son signalement à la CNIL en mars 2018. Même si Bouygues Telecom a effectué une correction rapide après en avoir été alerté, la CNIL a prononcé une amende de 250 000 € contre Bouygues Telecom, estimant que « la société avait manqué à son obligation d’assurer la sécurité des données personnelles des utilisateurs de son site«
Un incident antérieur au RGPD
Si un consultant vient vous faire peur avec cette amende contre
Bouygues Telecom, sachez que ce n’est pas dans le cadre du RGPD que celle-ci a été établie. En effet, le règlement RGPD relatif à la protection des données n’est actif que depuis Mai. Donc votre consultant a raison, cela pourrait être pire.
Imaginer! le règlement européen sur la protection des données (RGPD) entré en vigueur le 25 mai, donne un pouvoir de sanction accru à la CNIL, puisque les pénalités auraient pu atteindre jusqu’à 20 millions d’euros et 4 % du chiffre d’affaires si ce même cas avait eu lieu post 25 mai.
(Un article est en préparation sur les prochaines amandes)
L’humain, à l’origine de la faille
Dans les grandes sociétés, à force de mettre des stagiaires dans les phases critiques et de n’avoir que de faible test post production, on observe (comme dans le cas de Bouygues) une baisse de la qualité et une recrudescence des failles qui peuvent en découler.
Noté, la Commission est sympathique, car elle a imputé la vulnérabilité à une erreur humaine, parlant d’un « oubli sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins du test ».
Mais dans les faits ce sont tous les processus de qualité de Bouygues qui sont à revoir, comme nous allons le voir plus loin.
Zataz, toujours en alerte
Encore une fois, la faille avait été présentée dés mars dans l’article Données privées : Bouygues Telecom corrige une fuite d’informations sur le site Zataz, l’un des meilleurs dans sur ce domaine. Que nous tenions à remercier ici.
Des doutes sur la réponse de Bouygues
« Après enquête, il apparaît que les données n’ont pas été utilisées par une personne extérieure », a-t-on précisé chez Bouygues Telecom, « aucune donnée sensible n’a été exposée ».
Hors sur dans la description de l’incident sur Zataz, on peut lire
« Chaque url proposant le PDF affichait le numéro du document généré. Si 12345 fournissait le PDF du contrat d’un client A, 123 proposait l’internaute B, 12347, un Français C, etc. »
Cela voudrait dire que Bouygues s’est assuré que l’ensemble des appels aux urls en questions soit légitime. Nous avons un gros gros doute sur cette affirmation. Sachant que Zataz lui a fait l’analyse, il a donc eu accès aux données pourquoi pas d’autre….
Plutôt un développement peu fiable, plutôt qu’une erreur humaine
Notre analyse est que nous avons à faire, probablement, à un modèle de programmation éculé ou d’amateur plutôt qu’à une désactivation d’authentification. En effet, on voit souvent des programmeurs générer des pdf dans des répertoires pour ensuite donner le liens directement dans les consoles clients. Le programmeur oublie qu’un simple changement de lettre ou chiffre peut donner accès à d’autres comptes.
Nous serions heureux d’auditer cette faille pour en faire un cas d’école pour que les jeunes programmeurs soient sensibiliser à ce type de faille.
Le RGPD, trop trusté par des juristes?
Encore une fois, des centaines de millions de lignes de CGV, Privacy sont maintenant en ligne, mais les vrais problèmes de sécurités sont-ils réellement adressés? Combien d’entreprises ont mis en place des équipes pluridisciplinaires pour traiter le volet technique du risque?
Les réponses dans les prochaines condamnations de la CNIL…
