Protection des données : carton jaune foncé pour Orange
Publié par La rédaction le | Mis à jour le
Suite à la fuite de données personnelles de 1,3 million de clients, la CNIL adresse un carton jaune à Orange. Et à la lecture des manquements constatés par la Commission, c'est probablement un rouge que méritait l'opérateur.
La CNIL adresse un avertissement Orange, suite au vol de données personnelles ayant affecté 1,3 million de clients de l'opérateur en avril dernier. Dans la délibération de la commission restreinte de la Commission Nationale de l'Informatique et des Libertés, chargée d'examiner cette affaire, on apprend que le vol de données, constaté le 18 avril dernier, résultait « d'un dysfonctionnement du serveur du prestataire chargé de réaliser certaines campagnes de marketing direct ». Les données concernées sont les noms, prénoms, dates de naissance, e-mails et numéros de téléphone fixe ou mobile des clients. Pas de quoi usurper l'identité d'un client auprès de sa banque, mais suffisant pour orchestrer de belles campagnes de phishing. Rappelons qu'au printemps dernier, Orange avait prévenu les clients concernés des risques encourus.
D'après la mission de contrôle de la CNIL, la faille -béante - a été découverte par un client. « Le lien de désinscription figurant sur un courriel de prospection permettait, par une modification de l'adresse URL, d'accéder à un serveur du prestataire secondaire (le sous-traitant du sous-traitant, NDLR) contenant 700 fichiers relatifs aux clients et prospects de la société Orange ». Bref, sur le serveur, c'était (presque) open bar ! Les fichiers en question ont été aspirés les 4 et 5 mars derniers depuis une adresse IP non identifiée, constate la CNIL.
« Insuffisances » et « défaillances » selon la CNIL
La Commission nationale relève par ailleurs que l'application déficiente, mise en production en novembre 2013, avait été lancée sans audit de sécurité et qu'Orange envoyait les mises à jour de ses fichiers de clients ou prospects par mail, sans mesure de sécurité particulière. De plus, si l'opérateur avait bien encadré contractuellement les aspects relatifs à la sécurité avec son sous-traitant principal, il a « oublié » de veiller à ce que ces obligations s'étendent aux prestataires secondaires. Bref, un inventaire à la Prévert de toutes les bourdes les plus basiques en matière de sécurité. Maître de l'understatement, la CNIL préfère parler de mesures de sécurité « insuffisantes » et de « défaillances », dans le compte-rendu de ses délibérations. La Commission remarque que l'opérateur n'a même pas l'excuse de l'insuffisance de ses ressources financières et humaines pour expliquer pareil bricolage.
Pour sa défense, la société a argué qu'elle avait rempli ses obligations de notification en matière de violation de données « alors même qu'un doute existerait quant à son application en matière d'opérations marketing ». Et « soutient que la faille de sécurité serait liée aux risques inhérents à une chaîne de sous-traitance ». Des arguments bien faiblards, même si l'opérateur affirme avoir depuis changé de prestataire secondaire et travailler à une nouvelle plate-forme technique mieux sécurisée.
Deux piratages en quelques mois
L'opérateur a décidément du mal à tenir la promesse que son dirigeant Stéphane Richard avait faite en novembre dernier en s'engageant, signature d'une charte à l'appui, à protéger les données de ses clients. Déjà victime de deux piratages depuis le début de l'année, Orange a tenté à chaque fois de minimiser la portée de ces affaires.
Le couac d'Orange rappelle celui de DHL, qui avait là aussi pour origine une application périphérique confiée à un prestataire. Le logisticien avait aussi eu droit à un blâme public de la CNIL.
Silicon.fr a sollicité un entretien avec Orange pour avoir ses explications sur cette affaire et comprendre quelles mesures il met concrètement en ouvre pour respecter les engagements pris par son patron en novembre 2013.
En complément : la longue série des vols de données ces derniers mois
- Données clients volées : des hackers réclament 30 000 euros à Domino's Pizza
- Piraté, Ebay lance un appel mondial pour changer les mots de passe
- Les vols de données clients se poursuivent chez Orange
- Données : le vol d'identifiants est à la base de deux attaques sur trois
- 5 questions pour mieux comprendre la fuite de données chez Orange
- Vol de données : Adobe toujours pas sorti d'affaire
- Adobe : le plus grand vol de données de tous les temps ?