Après le carton jaune de la CNIL, le DSI de DHL s'explique
680 000 fiches clients accessibles, des données conservées sur 7 ans : la CNIL a récemment adressé un avertissement à DHL France en raison d'une application Web insuffisamment sécurisée. Le DSI du logisticien revient sur les origines de cette faille.
Après notre article relatant les raisons qui ont poussé la CNIL à adresser un avertissement public à DHL France, Silicon.fr a pu joindre son DSI, Patrick Goeuriot. Ce dernier explique l'enchaînement des événements qui ont conduit au carton jaune de la Commission nationale de l'informatique et des libertés. Rappelons l'objet du courroux de cette dernière : quelque 680 000 fiches de clients en accès libre sur Internet, des fiches dûment référencées sur le moteur de recherche de Google.
« La faille affectait une petite application développée par un prestataire en 2006 / 2007 et permettant à un client de repositionner un rendez-vous pour une livraison », précise le DSI. Selon Patrick Goeuriot, cette faille découverte par la CNIL ne concernait pas l'accès public à l'application (sécurisé par un couple nom et numéro de bon de livraison), mais un accès réservé aux salariés de DHL France. Un accès poreux depuis l'extérieur. « Mais nous n'avons jamais enregistré la moindre plainte d'un client à ce sujet. De même, après la découverte de la faille par la CNIL, nous avons mené une analyse des logs sur la base de données renfermant les fiches clients. Sans y détecter d'accès frauduleux », assure Patrick Goeuriot.
Méfiez-vous de la petite application jetable
Selon le DSI, si l'indexation dans Google était certes réelle, l'accès aux informations depuis le moteur de recherche nécessitait « la connaissance de commandes et de paramètres particuliers ». Autrement dit, selon DHL France, il n'y avait aucun risque d'afficher une fiche client issue de sa base dans Google via une recherche sur un nom propre. Bref, pour Patrick Goeuriot, si la faille existait bel et bien, elle n'était pas exploitable simplement. « La CNIL s'est doté d'outils puissants pour ses contrôles, observe le DSI. Même insuffisamment sécurisé, l'accès aux fiches clients nécessitait de solides compétences techniques ». Face à ce faisceau d'éléments manifestement jugés rassurants, DHL France n'a pas mené de campagne d'avertissement systématique des clients concernés. « Quand un client nous interroge sur le sujet, nous le rassurons », dit Patrick Goeuriot.
Suite au contrôle de la CNIL, en février 2013, la sécurité a été rapidement restaurée par DHL et l'historique des données limité à un mois. Car c'est l'autre faille découverte par les enquêteurs de la Commission : certaines fiches renfermées dans la base liée à l'application de relivraison dataient de 2007. soit l'époque de la mise en production de ladite application. Une durée de conservation inadaptée à la finalité du traitement, observe fort justement la CNIL.
« Au sein du groupe, nous évoluons vers un système d'information de plus en plus centralisé et mondial, dans lesquels les règles de sécurité et de conservation des données sont très strictes. Là, nous sommes dans le cas de la petite application conçue en dehors de cet environnement global et pensée pour une durée de vie limitée. Sans toute la rigueur nécessaire », reconnaît le DSI. Depuis le contrôle de la CNIL, l'application litigieuse a été remplacée et la durée de conservation des données limitée à un mois. « Et la sécurité a été scrutée à la loupe », assure Patrick Goeuriot. Ironie du sort : l'application de relivraison devait de toute façon être remplacée un mois après le contrôle de la CNIL. A quelques jours près, la faille aurait pu donc passer totalement inaperçue.
En complément : la longue série des vols de données ces derniers mois
- Données clients volées : des hackers réclament 30 000 euros à Domino's Pizza
- Piraté, Ebay lance un appel mondial pour changer les mots de passe
- Les vols de données clients se poursuivent chez Orange
- Données : le vol d'identifiants est à la base de deux attaques sur trois
- 5 questions pour mieux comprendre la fuite de données chez Orange
Lire aussi : Avec l'AI Act, un nécessaire RGPD 2 ?
Sur le même thème
Voir tous les articles Workspace