Bouygues Telecom écope d’une amende de 250 000 € pour une faille de sécurité touchant 2 millions d’abonnés

La CNIL vient de prononcer une sanction de 250 000 euros à l’encontre de l’opérateur de Martin Bouygues, "pour avoir insuffisamment protégé les données de clients B&You".

Contexte. En mars 2018, la Commission nationale de l’informatique et des libertés de France a reçu un signalement "l’informant de l’existence d’un incident de sécurité qui conduisait à rendre librement accessibles les données personnelles de clients de la marque B&You" fait-elle savoir ce matin. 

Un contrôle a par la suite été réalisé dans les locaux de l’opérateur confirmant l’existence d’une vulnérabilité. Cette dernière permettait en réalité d’accéder à des contrats et factures de clients B&You par la simple modification d’une adresse URL sur le site web de Bouygues Telecom. Au total, ce défaut de sécurité a impacté les données de plus de deux millions de clients B&You 

L’opérateur a fort heureusement corrigé cette faille très rapidement mais la formation restreinte de la CNIL a décidé de le sanctionner à hauteur de 250 000 euros, "considérant que la société avait manqué à son obligation d’assurer la sécurité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés."

La Commission a par ailleurs constaté que le défaut de sécurité "trouvait son origine dans l’oubli de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins de ces tests." Elle a estimé néanmoins qu’il appartenait à la société d’être particulièrement vigilante quant à l’effectivité de son mécanisme d’authentification, compte tenu de son choix de ne pas mettre en place de mesure de sécurité complémentaire.

 

 

Publié le par
Partager sur Google + Partager sur Twitter Partager sur Facebook Alertes mail Partager
COMMENTAIRES DES LECTEURS (19)
Posté le 27 décembre 2018 à 11h39

J'adore l'image d'illustration de la news qui contraste avec le contenu de cette dernière :)


garm
Envoyer message
 
398 points
Posté le 27 décembre 2018 à 11h57

Voilà une sanction dissuasive! (ironie inside!)

Non mais sérieux, même pas un euro par mois et par client alors que la faille a perduré 2 ans selon France Info...

Franchement, c'est un encouragement à continuer de même dans les années à venir au lieu de bien faire le boulot du premier coup.

Posté le 27 décembre 2018 à 12h26

Et BIM !

Bravo pour ceux qui ne respectent rien..., mais cette sanction...c'est vraiment du foutage de gueule !

Ils doit bien rigoler Martin.... frown

Posté le 27 décembre 2018 à 12h37

C'est vrai que ça n'est pas une grosse amende. Mais symboliquement cela a un effet quand même, je pense.

Posté le 27 décembre 2018 à 12h43

De toute maniere ils ne paieront pas enfin je suppose que c'est pour tous pareils

Posté le 27 décembre 2018 à 12h53

mieux que les journaleux 

et permet de comprendre la faille

A la suite du signalement, les équipes de la société ont reproduit l’incident : les adresses URL composées comme suit

https://www.bouyguestelecom.fr/archived/index/printcontract/archived_id/X, où X représente un nombre entier, permettaient d’afficher le contrat de souscription d’un client. À partir de cette adresse URL, et en modifiant la valeur de X , il était possible d’afficher le contrat d’un autre client.

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037856073&fastReqId=2004200385&fastPos=1

Posté le 27 décembre 2018 à 13h05
manubx a écrit
mieux que les journaleux  et permet de comprendre la faille A la suite du signalement, les équipes de la société ont reproduit l’incident : les adresses URL composées comme suit https://www.bouyguestelecom.fr/archived/index/printcontract/archived_id/X, où X représente un nombre entier, permettaient d’afficher le contrat de souscription d’un client. À partir de cette adresse URL, et en modifiant la valeur de X , il était possible d’afficher le contrat d’un autre client. https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037856073&fastReqId=2004200385&fastPos=1

Assez dingue, comme faille ! La SSII qui a développé le site devrait changer de métier.

Posté le 27 décembre 2018 à 13h54

Je suis vraiment très étonné, vu la complexité de se connecter programmatiquement à son espace client Bouygues.

Posté le 27 décembre 2018 à 14h54

Vraiment symbolique , je suis sur que l’enquête et la procédure à coûté plus cher aux contribuables undecided   

Posté le 27 décembre 2018 à 15h06

Des failles de sécurité il y en a eu bien d'autres, jamais sanctionnées.

Par exemple sur les anciennes BBox le code wifi par défaut, inchangé par la plupart de leurs clients car supposé sécurisé, était calculable à partir du nom du réseau généré par la box...

Ou bien chez Orange, j'avais pu accéder au compte d'un collègue qui s'était identifié sur SON ordinateur, à partir du mien, simplement en allant sur la page abonné, à l'évidence tous les ordinateurs du réseau local avaient l'accès...

Jamais vu de sanction pour ça, alors que c'était autrement plus grave que d'accéder en lecture aux données de facturation.

Posté le 27 décembre 2018 à 15h08
skyrail a écrit
Je suis vraiment très étonné, vu la complexité de se connecter programmatiquement à son espace client Bouygues.

En réalité les deux sont probablement liés... Plus l'équipe projet est nulle, et plus le résultat sera mal conçu et difficile à utiliser, et en même temps plus ils vont faire de boulettes.

Posté le 27 décembre 2018 à 20h42

Soit a 0,125€ pas client, le prix de l amende est inférieure a la valeur des données clients.

Bougyues soit bien rigoler avec une opération rentable.

Posté le 28 décembre 2018 à 09h50

C est beau la pseudo-sécurité de tous ces sites lamentables vendant nos données et en réclamant tjrs plus pour soit disant des conditions plus sûre....

Mail par ci

Téléphone par là

Empreinte tant qu à faire

Et un de ces jours reconnaissance vocale ou adn mais en réalité croire a leur sécurité c'est accepter d' être violé et distribué a tout va.

Hier encore Amazon avouait avoir perdu mes données sur le net

Mais alors pourquoi en collecter autant quand on est INCOMPETENT !?! Que ça se considère comme des grosses firmes mais ce ne sont que des gros nuls. Hallucinant !

Posté le 28 décembre 2018 à 10h59

Whaouuuuu....!!!!   0,125€ par abonné....de qui se moque t'on ?????  

On voit vraiment l'énorme l'intéret  que CNIL porte à la sécurité !!!!!

Enfumage !!!!

Posté le 28 décembre 2018 à 15h53

250 000 euros, c'est de la menue monnaie pour Martin :)

Posté le 28 décembre 2018 à 15h54
AnneAtole a écrit
Whaouuuuu....!!!!   0,125€ par abonné....de qui se moque t'on ?????   On voit vraiment l'énorme l'intéret  que CNIL porte à la sécurité !!!!! Enfumage !!!!

Même avec ses abonnés à 5 euros ca le fait MDR !

Posté le 28 décembre 2018 à 23h03
garm a écrit
Voilà une sanction dissuasive! (ironie inside!) Non mais sérieux, même pas un euro par mois et par client alors que la faille a perduré 2 ans selon France Info... Franchement, c'est un encouragement à continuer de même dans les années à venir au lieu de bien faire le boulot du premier coup.

Ça pourrait avoir des retombée négatives sur l'emploi!!

Il ne faut donc pas frapper fort!!!Pauvres clients!!!cool

Posté le 28 décembre 2018 à 23h22
Skippy69 a écrit
Soit a 0,125€ pas client, le prix de l amende est inférieure a la valeur des données clients. Bougyues soit bien rigoler avec une opération rentable.

Tout à fait et pas que !!!Il doit aussi en profiter pour narguer hein!!!

Posté le 29 décembre 2018 à 13h14

cool

RUBRIQUE COMMENTAIRE
Bonjour, avant de poster, veuillez vous assurer d'avoir pris connaissance des règles.

X

Quatre consignes avant de réagir :

  • Rester dans le cadre de l'article. Pour des discussions plus générales, vous pouvez utiliser nos forums.
  • Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
  • Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
  • Pour toute remarque concernant une faute dans l'article, merci de nous contacter exclusivement par le formulaire "signaler une erreur" lors de la sélection du texte de l'article (les commentaires portants sur ce sujet seront systématiquement supprimés).