L’un des services accessibles sur le portail MyTF1 a fait l’objet d’une attaque informatique. L’information révélée par Zataz vendredi a été confirmée hier par la première chaîne qui relativise l’incident, mis sur les épaules d’un de ses partenaires.
Vendredi, Zataz.com indiquait que le groupe Linker Squad avait piraté l’espace « Magazines » du site MyTF1. « Les pirates parlent de 1,9 million de clients dorénavant dans leurs mains » relate notre confrère Damien Bancal. Dans leurs filets, ces pirates ont absorbé des adresses mails, des mots de passe. Ils prétendent également avoir obtenu des données bancaires (RIB).
De fait, le service victime de cette fuite n’est pas directement celui de TF1 mais celui géré par ViaPresse, son partenaire commercial qui propose des prestations d’abonnement à plusieurs magazines. Ce week-end, TF1 a confirmé dans un communiqué cette faille tout en rassurant « ses » internautes : d’une part, la brèche est colmatée, d’autre part, « aucune donnée des internautes inscrits à TF1.fr et gérées par TF1 n'ont été exposées, ni piratées » puisque « seuls sont affectés les abonnés du prestataire de ce service. Concrètement, si vous êtes inscrits à une newsletter, un jeu ou tout autre service nécessitant de laisser certaines informations, aucune de vos données n'est concernée dans ce piratage. »
La chaîne ne dit rien de la volumétrie (1,9 million de clients impactés ?), elle se contente de citer ViaPresse qui confirme la fuite de donnée (identité du client, adresse, email et mot de passe). Rien n'est précisé concernant le chiffrement des données, mais selon nos confrères, les mots de passe seraient en clair. Dans tous les cas, il est recommandé de le changer, y compris sur d'autres services où vous auriez pu le réutiliser.
De son côté, Viapresse assure par ailleurs qu’aucune donnée bancaire client n’a été malmenée puisque la société « ne stocke pas et n'a pas accès aux données des cartes bancaires ; les transactions étant effectuées depuis les plateformes sécurisées mises à disposition par les banques ». De fait, les RIB trouvés « appartiennent à des prestataires de Viapresse et non à des clients du kiosque presse TF1 » indique-t-elle dans les colonnes du Figaro.
Dans un nouvel article, Zataz affirme désormais qu’une seconde faille aurait été dénichée « ouvrant elle aussi sur une base de données » et où des bouts de données de cartes bancaires, identités, IP, numéro de transaction, datant de 2008 auraient été éventées.
Les suites judiciaires d’un tel piratage, boostées par la loi contre le terrorisme
Quelles seront les suites judiciaires de cette brèche ? Au premier plan, on peut évidemment tabler sur une éventuelle action en justice de TF1 et de ViaPresse contre les auteurs présumés.
La législation protégeant les systèmes de traitements automatisés de données personnelles permet en effet de poursuivre ceux qui ont eu simplement accès sans droit à un serveur. Juridiquement, le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un tel système est puni de deux ans d'emprisonnement et de 30 000 euros d'amende.
Quand ces opérations ont conduit les tiers non autorisés à extraire, détenir, reproduire, transmettre, supprimer ou modifier frauduleusement des données, les responsables risquent jusqu’à cinq ans d'emprisonnement et 75 000 euros d'amende. C’est l’incrimination du « vol » de données informatiques désormais possible depuis la loi sur le terrorisme.
Quelle responsabilité pour le gestionnaire des données personnelles ?
Les auteurs de l’attaque ne sont pas les seuls à être inquiétés d’une telle fuite. Les responsables du traitement peuvent en effet avoir à fournir quelques explications à la CNIL. Et pour cause, manipulant des données personnelles, ils sont tenus à une série d’obligations de sécurité afin d‘éviter la violation de données à caractère personnel (destruction, perte, altération, divulgation, accès non autorisé).
L’article 34 bis de la loi Informatique et Libertés les oblige par exemple à avertir sans délai la CNIL et à tenir à jour un registre des incidents. En principe, les particuliers, victimes collatérales de cette faille, doivent également être informés sans délai, sauf si la CNIL « a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation ». En clair, pas d’alerte direct des clients si les rustines ont été correctement appliquées.
Plus globalement, l’article 34 de la loi Informatique et Libertés impose au responsable d’un traitement de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Évidemment, cette protection diffère selon la nature des données et des risques présentés par le traitement.
Enfin, selon l'article 226-17 du Code pénal, le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Responsable de traitements et partenaires
Justement. Que se passe-t-il lorsqu’un acteur fait appel à des partenaires tiers ? La CNIL a eu plusieurs fois à se frotter à une telle situation. Dans un dossier relatif à une fuite de données subie par un sous-traitant d’Orange, la Commission avait déjà relevé qu’un responsable de traitements a « l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients et prospects et qu’elle ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires ».
Dans ce dossier (PDF), Orange avait été directement sanctionné notamment parce qu’elle communiquait de manière non sécurisée les mises à jour de ses fichiers clients à ses prestataires et qu’aucune clause de sécurité et de confidentialité des données n’était imposée. Par ailleurs, Orange n’avait engagé aucun audit de sécurité auprès de son prestataire secondaire avant la mise en production de l’application défaillante. Au final, l’opérateur avait alors subi un simple avertissement. Une sanction légère, certes, mais qui avait été douloureusement accentuée en ayant été rendue publique par la Commission.
Rien ne prédit pour l’instant pareille mésaventure contre un des acteurs impliqués dans le dossier MyTF1. Seul un examen attentif des faits permettra de jauger les mesures de sécurité apposée, en balance avec les moyens mis en œuvre par les pirates pour les contourner. On se contentera pour l’heure de constater que la page http://abonnement-presse.tf1.fr renvoie désormais sur MyTf1 et non plus sur l’espace ouvert par le site à ViaPresse.
