Faille de sécurité et données en libre accès : simple avertissement pour DHL

Faille de sécurité et données en libre accès : simple avertissement pour DHL

Ça la fiche mal...

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

20/06/2014 4 minutes
10

Faille de sécurité et données en libre accès : simple avertissement pour DHL

La Commission nationale de l’informatique et des libertés (CNIL) vient d’infliger un simple avertissement public au transporteur DHL. L’institution s’était aperçue que suite à une faille de sécurité, les données personnelles de plusieurs centaines de milliers de clients de la société s’étaient retrouvées sur le Net, et étaient même accessibles via Google. Explications. 

DHL
Crédits : Capture du site Internet DHL

Au total, ce sont 684 778 fiches clients de la société DHL, spécialisée dans le transport de colis et de courrier, qui étaient en accès totalement libre sur la Toile. Pire : ces données (nom, adresse, numéro de téléphone, adresse email du client, plus éventuellement des instructions détaillées de livraison) étaient référencées dans Google. Autrement dit, il était possible de mettre la main dessus en quelques clics grâce au célèbre moteur de recherche...

 

La cause de ce grand déballage ? Une faille de sécurité touchant une application dédiée aux « avis de passage ». Alertée, la CNIL s’est rendue en février dernier dans les locaux de DHL pour effectuer un contrôle. La gardienne des données personnelles en a ensuite conclu que le transporteur était informé de l’existence de cette faille depuis la fin de l’année 2013, même si une version corrective était prévue pour mars 2014.

 

« Pour expliquer l’origine de la faille du contrôle, la société indique que l’application dont il est discuté a été conçue il y a plusieurs années par un sous-traitant et que l’absence de mesure de sécurisation au niveau de l’adresse IP résulte d’un défaut de conception du design de l’application » nous indique la CNIL dans sa délibération.

 

En guise de preuve de sa bonne foi suite au contrôle de la Commission, le transporteur joue volontiers la carte de la coopération. Une dizaine de jours après la visite de la CNIL, il indique ainsi avoir résolu le problème et coupé l’accès aux fiches clients en question. DHL précise au passage avoir contacté Google afin d’obtenir le déréférencement des données personnelles déballées (depuis une date qui reste indéterminée).

DHL ne peut s'exonérer de responsabilité pour cette faille

Mais cela n’a pas empêché la CNIL d’ouvrir une procédure de sanction l'encontre du transporteur, à l’issue de laquelle l’autorité administrative a décidé de prononcer un simple avertissement, lequel a été rendu public hier (voir la délibération, datée du 12 juin).

 

Le transporteur est en effet reconnu coupable de manquement à son obligation d’assurer la sécurité et la confidentialité des données qu’il avait en sa possession. Aux yeux de la CNIL, la situation constatée résultait « d’un défaut dans la conception [de l’application] dont la responsabilité incombe nécessairement à la société en tant que responsable de traitement et ce quelle qu’en soit l’origine réelle ». Autrement dit, DHL ne pouvait pas se défausser dans le cas présent sur un prestataire extérieur. La Commission ne manque par ailleurs pas de souligner que certaines des informations en jeu « présentaient un réel caractère d’intimité, révélant des éléments relatifs à la santé des personnes ou à la sécurisation des accès aux logements des clients ».

 

D’une manière plus générale, c’est l’attitude même de la société qui est pointée du doigt par l’autorité administrative. La CNIL fait ainsi valoir que bien « qu’éclairée sur l’existence d’une faille de sécurité interne, la société n’a entrepris aucune démarche pour vérifier la sécurité de l’ensemble de l’application ». Les efforts de DHL pour résoudre le problème semblent néanmoins lui avoir permis d’échapper à une sanction plus sévère.

 

Autre chose : le transporteur a également été sanctionné dans la mesure où parmi les données déballées, certaines dataient de 2007. Or cette durée de conservation était bien trop longue aux yeux de la CNIL, qui a donc demandé à DHL de faire un peu de ménage. L’autorité administration note ainsi dans sa délibération qu’une purge a été effectuée en février dernier, et qu’une politique de conservation proportionnée des données instaurée. 

10

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

DHL ne peut s'exonérer de responsabilité pour cette faille

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (10)


Et au bout de 12 avertissements ils ont un blâme au moins ?


Deux poids deux mesures ?



DHL laisse fuiter plus de 680 000 fiches clients suite à un défaut de sécurité, et ils se font juste taper sur les doigts gentiment par la CNIL.



Un particulier se fait pirater son WiFi et son IP se fait flasher par Hadopi, et paf, un délit de négligence caractérisée devant la tribunal !



<img data-src=" />

<img data-src=" />


Tant que la CNIL ne mettra que des tape sur les doigts rien ne bougera. Il faut des sanctions et au moins une obligation de poster sur la pages d’accueil du site un message indiquant que le site n’était pas sécurisée.




révélant des éléments relatifs à la santé des personnes ou à la sécurisation des accès aux logements des clients



Qu’est-ce que ça fout sur les fiches clients ?

(ou alors quelque chose m’échappe)



Comme déjà dit par Gericoz, je pense que tant que la CNIL sanctionne ainsi, les sociétés françaises n’ont pas réellement intérêt à se presser pour assurer niveau sécurité (et le respect des autres règles).








Poppu78 a écrit :



Et au bout de 12 avertissements ils ont un blâme au moins ?





Vu que des données dataient de 2007 “seulement” <img data-src=" /> j’en doute.









Worlak a écrit :



Deux poids deux mesures ?



DHL laisse fuiter plus de 680 000 fiches clients suite à un défaut de sécurité, et ils se font juste taper sur les doigts gentiment par la CNIL.



Un particulier se fait pirater son WiFi et son IP se fait flasher par Hadopi, et paf, un délit de négligence caractérisée devant la tribunal !



<img data-src=" />

<img data-src=" />





Pour rigoler, si on comparait le budget de la CNIL avec celui de la hadopi, on rigolerait bien hein ?



Hadopi 12 millions d’euros en 2011

https://fr.wikipedia.org/wiki/Loi_Cr%C3%A9ation_et_Internet

CNIL 15,8 millions d’Euros. en 2011

https://fr.wikipedia.org/wiki/Commission_nationale_de_l%27informatique_et_des_li…



Ouai c’est vraiment abusé. <img data-src=" />




Une faille de sécurité





Ça tient plus de la faille d’intelligence là…



Je me suis aperçu de la même chose chez une toute petite boîte étrangère qui vendait des composant pour CMS. Mon email et mes coordonnées étaient référencées sur Google. Après un mail d’information, ça leur a prit une journée max pour corriger le problème, plus un mail d’excuses de leur part…



Bon, et une raison de plus pour ne plus utiliser leurs services…








Winderly a écrit :



Qu’est-ce que ça fout sur les fiches clients ?

(ou alors quelque chose m’échappe)



Comme déjà dit par Gericoz, je pense que tant que la CNIL sanctionne ainsi, les sociétés françaises n’ont pas réellement intérêt à se presser pour assurer niveau sécurité (et le respect des autres règles).







Tant que l’informatique existera, les failles perdureront, tant que l on voudra tous etre riches, les failles humaines perdureront etc etc.



Moi je vais crever dans pas longtemps car je n’ai aucun espoir dans l’avenir du respect des être humains

Vous, vous allez vivre 100000 ans avec autant d’espoirs !