La CNIL vient de prononcer une sanction pécuniaire d’un montant de 250 000 euros à Bouygues Telecom pour ne pas avoir sécurisé les données personnelles des utilisateurs de son site. Au total, ce sont près de 2 millions de clients qui seraient potentiellement touchés par cette faille de sécurité.
En raison d’un signalement émis en mars 2018, la Commission Nationale de l’Informatique et des Libertés (CNIL) s’est penchée sur le cas de Bouygues Telecom, et plus particulièrement sur le site web de l’opérateur. Après contrôle, il s’est avéré que le site en question disposait d’une faille de sécurité permettant d’accéder à des données personnelles de clients.
Un simple changement d’URL
La faille a été découverte sur la page permettant d’afficher le contrat d’un client. L’URL « https://www.bouyguestelecom.fr/archived/index/printcontract/archived_id/X », où X représente un nombre entier, permettait ainsi de passer de contrat en contrat en changeant simplement la variable X. Au total, ce sont 2 176 236 clients dont les données étaient ainsi accessibles. Bouygues Telecom précise qu’il ne s’agit que des clients B&You, et que les clients Bouygues Telecom et clients pro ne sont pas impactés par ce manque de sécurité.
Cette vulnérabilité provient de la fusion des marques Bouygues Telecom et B&You, en 2015. Une base spécifique aux anciens clients B&You avait alors été conservée pour permettre à ces clients d’accéder à leurs contrats et factures. C’est cette base qui a été corrompue.
Afin de pratiquer des tests lors de la fusion des bases de données, la vérification de l’authentification avait été désactivée dans le code de la page et n’a pas été réactivée lors de la mise en ligne définitive. Un correctif a rapidement été mis en place et l’URL mentionnée plus tôt renvoie désormais un message d’erreur en cas d’accès non authentifié.
250 000 euros de sanction
Après des procédures qui ont eu lieu jusqu’au 15 novembre dernier, considérant que Bouygues Telecom avait manqué à son obligation d’assurer la sécurité des données personnelles des utilisateurs de son site, la CNIL a donc prononcé une sanction pécuniaire de 250 000 euros à l’encontre de la société.
L’opérateur a deux mois pour déposer un recours devant le Conseil d’État. FrAndroid a contacté Bouygues Telecom pour savoir si telle était l’intention du groupe et attendons actuellement une réponse.
À lire sur FrAndroid : Orange, Bouygues, SFR et Free : quel opérateur a le meilleur réseau mobile ?