Un partenaire de TF1 piraté, quelles conséquences juridiques ?

Un partenaire de TF1 piraté, quelles conséquences juridiques ?

AïeTF1

Avatar de l'auteur
Marc Rees

Publié dans

Internet

05/01/2015 6 minutes
39

Un partenaire de TF1 piraté, quelles conséquences juridiques ?

L’un des services accessibles sur le portail MyTF1 a fait l’objet d’une attaque informatique. L’information révélée par Zataz vendredi a été confirmée hier par la première chaîne qui relativise l’incident, mis sur les épaules d’un de ses partenaires.

Vendredi, Zataz.com indiquait que le groupe Linker Squad avait piraté l’espace « Magazines » du site MyTF1. « Les pirates parlent de 1,9 million de clients dorénavant dans leurs mains » relate notre confrère Damien Bancal. Dans leurs filets, ces pirates ont absorbé des adresses mails, des mots de passe. Ils prétendent également avoir obtenu des données bancaires (RIB).

De fait, le service victime de cette fuite n’est pas directement celui de TF1 mais celui géré par ViaPresse, son partenaire commercial qui propose des prestations d’abonnement à plusieurs magazines. Ce week-end, TF1 a confirmé dans un communiqué cette faille tout en rassurant « ses » internautes : d’une part, la brèche est colmatée, d’autre part, « aucune donnée des internautes inscrits à TF1.fr et gérées par TF1 n'ont été exposées, ni piratées » puisque « seuls sont affectés les abonnés du prestataire de ce service. Concrètement, si vous êtes inscrits à une newsletter, un jeu ou tout autre service nécessitant de laisser certaines informations, aucune de vos données n'est concernée dans ce piratage. »

La chaîne ne dit rien de la volumétrie (1,9 million de clients impactés ?), elle se contente de citer ViaPresse qui confirme la fuite de donnée (identité du client, adresse, email et mot de passe). Rien n'est précisé concernant le chiffrement des données, mais selon nos confrères, les mots de passe seraient en clair. Dans tous les cas, il est recommandé de le changer, y compris sur d'autres services où vous auriez pu le réutiliser.

De son côté, Viapresse assure par ailleurs qu’aucune donnée bancaire client n’a été malmenée puisque la société « ne stocke pas et n'a pas accès aux données des cartes bancaires ; les transactions étant effectuées depuis les plateformes sécurisées mises à disposition par les banques ». De fait, les RIB trouvés « appartiennent à des prestataires de Viapresse et non à des clients du kiosque presse TF1 » indique-t-elle dans les colonnes du Figaro.

Dans un nouvel article, Zataz affirme désormais qu’une seconde faille aurait été dénichée « ouvrant elle aussi sur une base de données » et où des bouts de données de cartes bancaires, identités, IP, numéro de transaction, datant de 2008 auraient été éventées.

Les suites judiciaires d’un tel piratage, boostées par la loi contre le terrorisme

Quelles seront les suites judiciaires de cette brèche ? Au premier plan, on peut évidemment tabler sur une éventuelle action en justice de TF1 et de ViaPresse contre les auteurs présumés.

La législation protégeant les systèmes de traitements automatisés de données personnelles permet en effet de poursuivre ceux qui ont eu simplement accès sans droit à un serveur. Juridiquement, le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un tel système est puni de deux ans d'emprisonnement et de 30 000 euros d'amende. 

Quand ces opérations ont conduit les tiers non autorisés à extraire, détenir, reproduire, transmettre, supprimer ou modifier frauduleusement des données, les responsables risquent jusqu’à cinq ans d'emprisonnement et 75 000 euros d'amende. C’est l’incrimination du « vol » de données informatiques désormais possible depuis la loi sur le terrorisme.

Quelle responsabilité pour le gestionnaire des données personnelles ?

Les auteurs de l’attaque ne sont pas les seuls à être inquiétés d’une telle fuite. Les responsables du traitement peuvent en effet avoir à fournir quelques explications à la CNIL. Et pour cause, manipulant des données personnelles, ils sont tenus à une série d’obligations de sécurité afin d‘éviter la violation de données à caractère personnel (destruction, perte, altération, divulgation, accès non autorisé).

L’article 34 bis de la loi Informatique et Libertés les oblige par exemple à avertir sans délai la CNIL et à tenir à jour un registre des incidents. En principe, les particuliers, victimes collatérales de cette faille, doivent également être informés sans délai, sauf si la CNIL « a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation ». En clair, pas d’alerte direct des clients si les rustines ont été correctement appliquées.

Plus globalement, l’article 34 de la loi Informatique et Libertés impose au responsable d’un traitement de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Évidemment, cette protection diffère selon la nature des données et des risques présentés par le traitement.

Enfin, selon l'article 226-17 du Code pénal, le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Responsable de traitements et partenaires

Justement. Que se passe-t-il lorsqu’un acteur fait appel à des partenaires tiers ? La CNIL a eu plusieurs fois à se frotter à une telle situation. Dans un dossier relatif à une fuite de données subie par un sous-traitant d’Orange, la Commission avait déjà relevé qu’un responsable de traitements a « l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients et prospects et qu’elle ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires ».

Dans ce dossier (PDF), Orange avait été directement sanctionné notamment parce qu’elle communiquait de manière non sécurisée les mises à jour de ses fichiers clients à ses prestataires et qu’aucune clause de sécurité et de confidentialité des données n’était imposée. Par ailleurs, Orange n’avait engagé aucun audit de sécurité auprès de son prestataire secondaire avant la mise en production de l’application défaillante. Au final, l’opérateur avait alors subi un simple avertissement. Une sanction légère, certes, mais qui avait été douloureusement accentuée en ayant été rendue publique par la Commission.

Rien ne prédit pour l’instant pareille mésaventure contre un des acteurs impliqués dans le dossier MyTF1. Seul un examen attentif des faits permettra de jauger les mesures de sécurité apposée, en balance avec les moyens mis en œuvre par les pirates pour les contourner. On se contentera pour l’heure de constater que la page http://abonnement-presse.tf1.fr renvoie désormais sur MyTf1 et non plus sur l’espace ouvert par le site à ViaPresse.

39

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les suites judiciaires d’un tel piratage, boostées par la loi contre le terrorisme

Quelle responsabilité pour le gestionnaire des données personnelles ?

Responsable de traitements et partenaires

Commentaires (39)


Ça va, les dégâts sont pas trop lourds. Ils auraient pu diffuser des programmes culturels <img data-src=" />


Mimi Mathy souffle sa série n’est pas iNpactée <img data-src=" />








ActionFighter a écrit :



Ça va, les dégâts sont pas trop lourds. Ils auraient pu diffuser des programmes culturels <img data-src=" />





<img data-src=" />



Bonjour,



Sait-on, lorsqu’on est client directement sur le site Viapresse (et non via le portail TF1), ce qui est mon cas, si nos données sont aussi concernées ?



Car évidemment, pour le moment aucune nouvelle de Viapresse, aucune communication.



Même sans données bancaires, le nom et l’adresse postale ça fait suer, alors les mots de passe en clair, comment dire… <img data-src=" />



En tout cas, vue l’anarchie de leur système informatique (le portail pour gérer ses abonnements est absolument catastrophique et peu ergonomique), et même si via les soldes + remises on fait de bonnes affaires avec eux, au final le seul avantage que j’en espérais (centraliser en un lieu la plupart de mes nombreux abonnements journaux pour voir leur état, date de fin…) est nul et non avenu.



J’ai donc commencé à le faire moi-même avec un simple fichier tableur, et je prendrai les réabonnements directement auprès de chaque magazine individuellement.



Ça me coûtera plus cher, mais (et je fais le lien avec les articles sur l’avenir de la presse écrite, son financement), ça rapportera plus aux journaux puisque plus de marge diminuée par le % de cet intermédiaire.


Et pas de reaction d’Hadopi ? Pourtant il y a bien un defaut de non-securisation d’acces, non ?

C’est pas un troll, juste que la loi devrait etre appliquee de la meme maniere, vu qu’on ne parle pas d’echange ou de download de fichiers, mais uniquement de cette securisation d’acces dans les histoires d’hadopi.








sum0 a écrit :



Mimi Mathy souffle sa série n’est pas iNpactée <img data-src=" />





<img data-src=" />



Ils auraient pu diffuser “Le Hobbit” à la place, ou un reportage sur les parcs d’attractions chinois.



Et encore, tu n’imagines pas le pire… un journaliste qui fait un reportage dans le journal de 13h.


Les mots de passe en clair, mais c’est pas honteux ça?



Je me demande des fois si je fais le même métier que les gens qui font ça…


J’ai une larme à l’œil à l’évocation de ce souvenir vieux de plus de vingt ans… <img data-src=" />








tazvld a écrit :



Et encore, tu n’imagines pas le pire… un journaliste qui fait un reportage dans le journal de 13h.





<img data-src=" />



C’est un coup à faire faire une attaque cardiaque à JP Pernaut <img data-src=" />









ActionFighter a écrit :



Ça va, les dégâts sont pas trop lourds. Ils auraient pu diffuser des programmes culturels <img data-src=" />





<img data-src=" />



L’article oublie l’essentiel : l’action en responsabilité civile de TF1 contre son prestataire…








Valeryan_24 a écrit :



Bonjour,



Sait-on, lorsqu’on est client directement sur le site Viapresse (et non via le portail TF1), ce qui est mon cas, si nos données sont aussi concernées ?



Car évidemment, pour le moment aucune nouvelle de Viapresse, aucune communication.&nbsp;







C’est justement si tu es client Viapresse et non pas TF1 que tu es concerné.

Aucune communication, pas anormal vu l’article 34 (expliqué par Marc dans l’article).

Bref, (re)lis l’article ça sera encore plus clair ;)



“Ne vous inquiétez pas! … nous on y est pour rien !” <img data-src=" />&nbsp;


Mots de passe en clair en 2015…



Comment dire…




En clair, pas d’alerte direct des clients si les rustines ont été correctement appliquées.





<img data-src=" />



En clair, pas d’alerte direct des clients si les données volées étaient chiffrées.








Nathan1138 a écrit :



L’article oublie l’essentiel : l’action en responsabilité civile de TF1 contre son prestataire…





prestataire sous payé et à qui l’on demande de faire l’impossible avec un budget matériel/logiciel en baisse chaque année (c’est la crise ma pauvre Lucette, fini l’australie)









momal a écrit :



Et pas de reaction d’Hadopi ? Pourtant il y a bien un defaut de non-securisation d’acces, non ?

C’est pas un troll, juste que la loi devrait etre appliquee de la meme maniere, vu qu’on ne parle pas d’echange ou de download de fichiers, mais uniquement de cette securisation d’acces dans les histoires d’hadopi.





Ca a été fait par XSS à tous les coups.

Selon certains, ce n’est pas un piratage.&nbsp; <img data-src=" />









JustMe a écrit :



Sauf que pour moi, il n’y a pas eu introduction à proprement parlé.



Pour reprendre ton analogie avec la fenêtre, pour moi l’action n’était

pas d’entrer dans une propriété privé mais plus de rentrer dans un

endroit publique genre rentrer une cabine téléphonique (autoriser pour

tout le monde) et laisser un post-it coller sur l’annuaire à

l’intérieur… rentré était autorisé, coller le pos-it par dessus

l’annuaire ne l’as pas habimé ni altéré son contenu, l’utilisateur

suivant à juste à décoller le post-it pour retrouver l’original (dans

notre cas faire un F5 dans le navigateur pour rafraichir le contenu et

voir la page normal)



Mais je suis juge! ^^ je dois être dans le faut!










CUlater a écrit :



C’est justement si tu es client Viapresse et non pas TF1 que tu es concerné.

Aucune communication, pas anormal vu l’article 34 (expliqué par Marc dans l’article).

Bref, (re)lis l’article ça sera encore plus clair ;)





Oui effectivement, je m’en doutais, j’ai déjà modifié mon mot de passe dès que je l’ai su, et il n’était pas utilisé ailleurs.



Après je me disais que peut-être, s’agissant d’une base pour TF1, elle est à part de leurs clients directs, mais c’est peu probable et si leur système a été pénétré, les voleurs ont tout pris.



Pour la communication et l’article 34-bis, il est dit “sauf si la CNIL a constaté que des mesures de protection

appropriées ont été mises en œuvre par le fournisseur afin de rendre les

données incompréhensibles à toute personne non autorisée à y avoir

accès et ont été appliquées aux données concernées par ladite violation.”



S’il se confirme que les mdp étaient&nbsp;stockés en clair, je crois qu’on n’est pas dans le cas d’une mesure de protection appropriée et qu’avertir les clients est une obligation, sinon légale, morale&nbsp;<img data-src=" />









tazvld a écrit :



Et encore, tu n’imagines pas le pire… un journaliste qui fait un reportage dans le journal de 13h.





ça fait une dizaine d’années que je ne regarde pas les chaines “hertziennes”, il y a maintenant un journal a 13h sur tf1 ??? avant c’etait un magazine sur la france profonde présenté aussi par JP pernaut



Pas TF1, Viapresse <img data-src=" />


J’ai abandonné aussi ViaPresse mais il y a 34 ans quand je me suis rendu compte que le mot de passe était en clair.

J’ai beau leur avoir adressé des mails à ce sujet à l’époque, je n’ai jamais eu de réponse…








darkbeast a écrit :



prestataire sous payé et à qui l’on demande de faire l’impossible avec un budget matériel/logiciel en baisse chaque année (c’est la crise ma pauvre Lucette, fini l’australie)





OSEF, obligation de sécurité de résultat.









Nathan1138 a écrit :



OSEF, obligation de sécurité de résultat.





osef non, au bout d’un moment ils faudrait que les boites comprennent que la sécurité informatique c’est important et non juste une perte d’argent.&nbsp;



Haaaa s’te winner attitude.

Mettons les pwd en clair boss, on est trop des bon, jamais on cassera notre système xD








darkbeast a écrit :



osef non, au bout d’un moment ils faudrait que les boites comprennent que la sécurité informatique c’est important et non juste une perte d’argent.&nbsp;





D’un point de vue juridique, je te garantis qu’OSEF. TF1 et son prestataire sont très vraisemblablement liés par un contrat. La responsabilité contractuelle du prestataire est engagée, point final <img data-src=" />



Ouais enfin si le prestataire accepte des contrats sous-payés c’est son problème. Sa responsabilité est clairement engagée, sans parler de la mauvaise pub, ça va leur couter cher de bosser à la R.A.C.H.E.

Pour moi ce genre de sociétés doivent crever la bouche ouverte. C’est inadmissible des mots de passe en clair, aucune excuse.








JBrek a écrit :



Ouais enfin si le prestataire accepte des contrats sous-payés c’est son problème. Sa responsabilité est clairement engagée, sans parler de la mauvaise pub, ça va leur couter cher de bosser à la R.A.C.H.E.

Pour moi ce genre de sociétés doivent crever la bouche ouverte. C’est inadmissible des mots de passe en clair, aucune excuse.





Alors tous les prestataires informatiques doivent crever en france, parce que la norme n’est pas de prendre le plus compétant, mais le moins cher. Et après les boite s’en foute que tout tienne avec des bouts de ficèles tant que ça ne tombe pas…..



Ouais, alors effectivement, l’article 34 : “toute mesure utile”… Ca sent l’usage “en bon père de famille” de Free.

En gros, rien qui ne définisse ce qui est utile, nécessaire, etc etc… Sans référentiel, c’est la foire à l’interprétation, en gros, un article de loi qui dit tout et n’importe quoi…



Quant à l’article 34b, il parle des “founisseurs de services de communication electronique”, qui ont droit à des contraintes supplémentaires (Les FAI, les fournisseurs de messagerie grand public), ce que TF1 n’est pas.

Donc TF1 n’est pas tenu d’avertir ses clients, ni même la CNIL.

&nbsp;

Mais bon, on peut espérer que dans une version ultérieure, cette restriction tombera.



Pour un coup, les américains sont bien plus incisifs et propres sur ces aspects…


Probablement pas engagé sur ces aspects, donc le prestataire est dans son “droit” contractuel, TF1 ne l’est pas au regard de la loi.








JBrek a écrit :



Ouais enfin si le prestataire accepte des contrats sous-payés c’est son problème. Sa responsabilité est clairement engagée, sans parler de la mauvaise pub, ça va leur couter cher de bosser à la R.A.C.H.E.

Pour moi ce genre de sociétés doivent crever la bouche ouverte. C’est inadmissible des mots de passe en clair, aucune excuse.





Tu parles, Viapresse, c’est pas un presta d’infomatique… Ils ont payés une boite à pas cher(et encore, ça se trouve, c’était un bras) y’a 15 ans pour leur mettre en place un système d’abo et ils vivent dessus. Alors Ok, déjà y’a 15 ans, c’était moyen de mettre les mots de passe en clair, mais on en parlait bcp moins et ce n’était pas aussi révoltant. (accessoirement, ils l’auraient fait propre y’a 15 ans, ils auraient hashés avec du MD5 et ça n’aurait pas été beaucoup mieux (rainbow table, tout ça)).

Le souci, c’est que la sécu, c’est un investissement permanent, et que eprsonne n’est prèt à payer pour ça. Accessoirement, si le grand public ne faisait pas le débile à mettre des “abc123” à tour de bras sur tous les sites, ce genre de “vol” ne serait sans doute pas un si gros problème.









sebc22 a écrit :



Probablement pas engagé sur ces aspects, donc le prestataire est dans son “droit” contractuel, TF1 ne l’est pas au regard de la loi.





Ce que tu dis n’a pas vraiment de sens… Probablement parce que tu confonds le pénal et le civil ;-)



Existe-t-il un outil, un peu sur le modèle de Piigeon pour les formulaires, qui permet de détecter si les sites Web chiffrent et salent nos mots de passe dans leur bases ?


Vous rigolez mais TF1 est toujours largement en tête en terme de taux d’audience toutes chaînes confondues…

Quand je dis qu’on a la TV qu’on mérite…&nbsp;<img data-src=" />








sebc22 a écrit :



Le souci, c’est que la sécu, c’est un investissement permanent, et que eprsonne n’est prèt à payer pour ça.





Dans beaucoup d’industries (quasi toutes) il y a des normes à respecter, les entreprises qui ne s’y conforment pas encourent de très lourdes amendes. Il serait très simple de faire pareil pour les sites web.



Piigeon vérifie seulement si les identifiants sont envoyés en utilisant https. Ça se fait depuis le navigateur donc c’est facile de vérifier.

Par contre une fois qu’ils sont arrivés sur le serveur du site, impossible de savoir s’ils sont stockés en clair ou chiffrés.


Si une demande de récupération du mot de passe te renvoie ton mot de passe en clair, alors ça craint.