Après OuiCar.fr, averti publiquement hier par la CNIL, au tour de la société Hertz France d’être sanctionnée. Cette fois, plus d’avertissement, mais une sanction pécuniaire immédiate. Une modalité ouverte par la loi Lemaire sur la République numérique.
« C’est la première fois qu’une sanction pécuniaire est prononcée pour une violation de données sous l’empire de la loi pour une République numérique entrée en vigueur en novembre 2016. Avant cette loi, seul un avertissement pouvait être décidé dans un tel cas ». Voilà comment la Commission chargée de veiller au strict respect des données personnelles a présenté hier sa sanction visant Hertz France.
Comme pour OuiCar, c’est une alerte Zataz adressée à la CNIL qui a été à l’origine de cette décision. Le 15 octobre 2016, notre confrère alertait l’autorité d’une brèche à partir de l’URL http://www.cartereduction-hertz.com/create_carte_cb.aspx. La faille, indique la délibération, « permettrait une violation des données de plus de 40 000 clients de la société Hertz France ».
Un mode opératoire très simple
Le mode opératoire était simple : il suffisait d’ajouter, à l’adresse en question, la chaîne cartcb_id= suivie d’un numéro correspondant à un identifiant. Et là, le site fournissait sans broncher les données personnelles des clients bénéficiant d’un programme de réduction : nom et prénom, date de naissance, adresse postale, adresse de messagerie électronique et numéro de permis de conduire… « La délégation (de la CNIL, ndlr) a ainsi pu accéder aux données à caractère personnel de 35 327 personnes ».
Alertée, la société de location de véhicules a indiqué que cette partie avait été développée par un sous-traitant. « La violation de données avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs assurant l’interface avec le prestataire en charge des paiements » explique la délibération.
Hertz a eu beau expliquer que la brèche avait été colmatée quatre heures après le signalement, qu’elle a fait organiser un audit de sécurité, qu’aucun client ne s’est plaint de voir ses données éventées, qu’il n’y aucune trace de téléchargement massif, etc. rien n’y a fait.
Une société très réactive, mais négligente
La Commission a dénoncé « une négligence (…) dans la surveillance des actions de son sous-traitant ». Et quelle négligence : Hertz ne lui a imposé aucun cahier des charges, de plus, le changement de serveur visait du matériel destiné à échanger avec le prestataire de paiement constituait « une opération délicate requérant une attention particulière ». Bref, pour l’autorité, « la société aurait dû s’assurer, à la suite de cette opération, que la mise en production du site avait été précédée d’un protocole complet de test afin de garantir l’absence de toute vulnérabilité ».
La sévérité apparente de la décision repose sur une stricte application de l’article 34 de la loi Informatiques et Libertés selon lequel le responsable du traitement doit « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Et le dispositif ne laisse pas d’échappatoire lorsque ledit responsable n’a pas pris les mesures préventives qui s’imposaient selon les règles de l’art.
40 000 euros d'amende, aucun avertissement public
La société, qui a certes été très réactive, « n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées » conclut, la délibération. La CNIL au final lui inflige une sanction de 40 000 euros outre la publicité de sa décision, rendue nominative pour une durée de deux ans.
La Commission semble particulièrement agacée que de telles brèches puissent encore exister sur des sites de cette importance. Cette sanction est en tout cas consécutive à l’entrée en vigueur de la loi sur une République numérique. Depuis, comme signalé plus haut, la CNIL n’est plus obligée de passer par la voie d’un avertissement. Elle peut directement décider d’une sanction. Voilà pourquoi hier, Ouicar a écopé d’un tel avertissement pour des faits antérieurs à la loi du 7 octobre 2016, et que Hertz est directement sanctionné sur l’autel de ces nouvelles dispositions.
Commentaires (69)
#1
“ La violation de données avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs ” gné?
" />
#2
Comment supprime t’on une ligne de code en changeant de serveur :/
Etant du métier, cela me laisse perplexe !
D’autant p^lus que aspx indique asp.net donc pour moitié compilé voir plus…
#3
“pu accéder aux données à caractère personnel de 35 327 personnes ».”
" />
j’espère qu’ils ont automatisé le test
#4
Pas de cdc au sous traitant !!!!
#5
Ah je ne suis pas le seul à ne pas comprendre cette phrase de la suppression de la ligne
" />
En tout cas ils ne choment pas à la CNIL. Comme quoi c’est vraiment une question de moyens…
#6
Et encore, la CNIL n’a pas encore commencé à s’attaquer aux problématiques de failles XSS. J’attends impatiement l’injection SQL permettant de récupérer l’intégralité d’une bdd avec un simple champ saisissable.
Par contre je trouve encore la sanction trop faible, 40k euros c’est rien du tout. La sécurité, ça coûte cher (et encore) et si les têtes pensantes jugent le risque coût/bénéfice, ils seraient capable de la porte ouverte avec les clefs sur la porte dès fois que.
Personellement, je pense que la sécurité ne doit pas être négligé mais il ne faut pas non plus trop en faire au risque de détériorer les performances, ou nuire à l’expérience utilisateur (limitation “sécuritaire” empếchant les personnes de faire leur boulot).
#7
#8
#9
Ce sont peut être des radiations cosmiques qui on changé un bit, passant du mode prod au mode debug ?
Y’en a bien un qui va la sortir un jour.
#10
Ont ils signalé ce traitement automatisé à leurs propres services
" /> 
" />
#11
Hypothèse : ils ont pas repris le bonne version de leurs dépôt (Git, svn etc…) sur le nouveau serveur.
#12
C’est faible surtout pour un boîte comme Hertz, mais il faut bien voir quand même que la faille a été corrigé 4h après le signalement..
Trouver comment corriger, faire le build, tester la correction, faire le process de release ne sont pas des choses anodines, 4h je leur tire mon chapeau perso.
En revanche j’ai pas compris pourquoi OuiCar avait eu un simple avertissement et Hertz une amende..
edit : Ok, c’est une question de date mais :
Pourquoi pas le même traitement?
#13
#14
Je trouve que la sanction devrait servir aussi à récompenser Zataz et la personne qui a signalé la faille. Si ceux qui se font prendre sont pas contents, ils n’ont qu’à organiser un bug bounty ou un système de contact pour signaler une faille sur leur site, qui n’engage pas de poursuites et est même récompensé pécuniairement ou en nature.
#15
Aïe, 40 KHertz, y a des oreilles qui vont sifflées…
" />
#16
ça me fait penser à Ricard ( ou pastis ) qui s’y étaient repris à 3 fois pour sécuriser leur données clients y as quelque année, pas de la mauvaise foi, mais pas très malins :/
#17
Et des yeux vont saigner…
#18
Tes marant, t’as déjà essayé de corriger des bugs après l’apéro? :)
#19
#20
Oups… Congés ce soir, j’en oublie les bases. Je laisse pour la postérité.
" />
" />
Pour tes yeux, quelques gouttes et ça ira mieux
#21
Bonne question.
J’ai jamais hébergé de l’ASP donc je peux pas me prononcer sur ce cas là, mais voilà un exemple qui pourrait avoir le même effet sur un hébergement avec Nginx:
C’est débile, mais il suffisait d’enlever cette ligne pour casser la sécurité.
Maintenant imagine que la migration de serveur incluait aussi de changer l’environnement, et c’est encore plus simple de se chier pour re-créer les configs équivalentes.
#22
Oui tout dépend de la société. Je connais des petites sociétés qui ont du mal à joindre les deux bouts et pourtant une base client énorme (surement moins que Hertz, mais c’est supérieur à 100k utilisateurs). Une négligence est toujours possible, seulement une amende comme ça, la société coule.
Autre exemple : Un webmaster à son compte, qui créé un petit site de rencontre. Le site lui ramène 100€/mois. Comment il fait ?
#23
S’ils ne savent pas respecter la Loi, ils ne font pas. C’est simple, non ?
#24
Mouais.. Ca en fout un coup à la liberté d’entreprendre s’il faut un avocat dans chaque startup..
#25
Les dealers disent la même chose. En plus, ils ne violent pas la vie privée de leurs clients, eux.
#26
Font sous traiter par des jeunes qui ne font pas l’apéro maintenant
#27
#28
#29
#30
#31
En droit pénal, il existe un principe de proportionnalité des peines. Le but d’une amende n’est pas de provoquer des faillites ou du surendettement, fort heureusement.
« En droit pénal
Le
principe de proportionnalité implique que la peine prononcée soit
fonction de la gravité de l’infraction, de la situation du délinquant et
de ses capacités de réinsertion (cf. article 130-1 du code pénal) »
 https://fr.wikipedia.org/wiki/Principe_de_proportionnalit%C3%A9#En_droit_p.C3.A9…
#32
Même problème que OuiCar.fr et que beaucoup de projet web:
On assimile le client web comme l’interface graphique et le serveur web au contrôleur/modèle.
Et, bien sur, on finit par déporter une partie des fonctions (dont la sécurité) coté interface graphique.
:-/
#33
pas de panique la marge des manoeuvre des autorités de protection des données va considérablement augmenter d’ici à mai 2018 en termes de sanctions.
En plus, il est probable qu’ils ont tenu compte de la situation (négligence grossière vs pas de leaks, de plaintes, réactivité et autre) avant de sanctionner.
Concernant l’expérience utilisateur, c’est un peu le fonds du problème: on vend notamment dans les objets connectés dépourvus de sécurité parce que ça pourrait faire perdre un peu de temps de configuration à l’utilisateur.
Mais c’est bien sûr une question d’équilibre et la loi le reconnaît. Les exigences diffèrent en fonction du risque.
#34
#35
L’exigence dépend de l’activité (sensibilité des données) et pour certaines choses de la taille de la boite.
Si tu développe un truc qui va faire des trucs très risqués avec des données très sensibles, il est pas idiot de faire appel à un spécialiste de la protection des données dans ta boite.
Si tu traite des données pas trop sensibles et que tu traite pas trop de données, on n’exige pas de toi d’appeler un spécialiste.
#36
#37
Pas sur que Zataz est lui même découvert la faille.
Souvent on le lui signale, il confirme et sert de relais/tampon avec les autorités.
Comme il connaît bien son sujet, surtout la partie judiciaire, il sait contrer les attaques à 2 balles des avocats.
#38
#39
J’avais fait fermer un site de la société générale il y a quelques années, en contactant la sogé directement ils se sont foutus de ma gueule avec des explications à la con (je suis client en +). J’ai menacé de contacter la cnil et j’ai contacté zataz qui a fait un article, quelques jours après le site a fermé définitivement…
En général, plus la boite est grosse et plus elle est de mauvaise foi… et l’argument de c’est pas moi c’est le presta, maintenant ça ne tient plus, merci la cnil (et l’Europe) !
#40
Ça se tient :)
Mais là on part du coup du principe que la sécurité est gérée coté système et pas coté code api pure.
Je préférerais faire les 2 perso :/
Mais je rebondis quand même sur l’explication qui parle de la suppression d’une ligne et pas de son oublie et j’ai une autre interrogation : en quoi un prestataire de paiement à besoin de toutes ses infos et surtout en règle générale (arrêtez mois si je me trompe) mais dans le cas d’échanges sensibles ont ne passe pas par un flux sécurisé et dédié (ssl, etc…)
#41
Oui, pas besoin d’avoir l’acréditation PCI/DSS pour tout est n’importe quoi (et heureusement..)
Il faut faire gaffe à la sécurité, mais tu ne peux pas engager un pentester dès les premières versions de ton produit.
Dire “il faut connaitre la loi sinon on ne fait pas”, je trouve ca con..
#42
#43
bah la loi attend de toi que justement tu prenne en considération les questions de vie privée et de sécurité dès la conception même du produit.
Au fonds c’est comme celui qui fait des grille pains: il doit s’assurer que ceux-ci respectent les normes anti-incendie, court circuit ou autre avant de commercialiser. C’est pareil au fonds pour les données personnelles et c’est pas plus mal.
Par contre, bien sûr qu’il faut connaître la loi avant de faire puisque c’est elle qui définit quels sont les caractéristiques auxquelles tu dois répondre à la base. C’est aussi important que de connaître le marché et les possibilité de commercialisation, l’état de la technique ou les compétences nécessaires à la production. ça fait partie d’un tout, et pour chacun de ces éléments, le fait de les prendre à la légère ramène bien souvent à la faillite.
Ceci-dit, c’est vrai que c’est souvent pas évident de tout associer du fait de la multidisciplinarité requise, mais c’est absolument nécessaire.
#44
En même temps la plus grosse peine c’est plutôt le déficit d’image que l’amende en elle-même.
Mais c’est vrai que pour une grosse boite ça se fait pas trop, à partir d’un certain seuil on doit quand même avoir des protocoles de tests/recettes :(
#45
L’alerte de Zataz sur OuiCar.fr est parti en Juillet 2016.
Le 7 octobre 2016 c’est la promulgation de la loi Lemaire.
#46
Ha oui merci,
" />
Le 7 octobre, c’est la promulgation,
En novembre, c’est l’entrée en vigueur de la République Numérique
#47
Ok mais tu peux toujours avoir des failles quelque part quelque soit la minutie avec laquelle tu bosses.
Et en l’occurence, Hertz ne semble pas avoir été de mauvaise foi et a blindé le truc sans tarder.
Pour faire un parallèle avec le fabricant de grille-pain, Samsung a-t-il eu une amende pour ses smartphone qui prenait feu à cause des batteries?
#48
Pour le déficit d’image, encore faudrait-il en entendre parler ailleurs que dans les médias spécialisés…
Vu que les 3⁄4 des gens ne s’informent qu’avec la télé, c’est pas près d’avoir un INpact non-négligeable.
#49
#50
#51
Ils ont obligation de publier la condamnation pendant 2 ans
" />
La CNIL au final lui inflige une sanction de 40 000 euros outre la publicité de sa décision, rendue nominative pour une durée de deux ans.
#52
#53
tu es certain de ton interpretation?
je le prends plus comme le fait que la décision de la CNIL est publique et fait expressément référence à la société pendant 2 ans (après on trouvera toujours une trace de sanction de 40k mais sans savoir à qui ^^).
(je ne suis pas expert en droit, donc je peux très bien me tromper ^^)
#54
#55
#56
#57
#58
#59
Jurinord t’a répondu sur l’aspect code pénal non applicable ici.
Mais que voulait dire ton intervention ? Tu penses qu’une entreprise qui ne sait pas gérer la sécurité des données privée et qui a peu d’argent est donc exemptée de respecter la Loi informatique et libertés ainsi que les réglementation européennes quitte à laisser fuiter ces données ? C’est normal, monsieur le juge, ils ne sont pas très doués et n’ont pas les moyens de se payer des spécialistes en sécurité. Tu crois qu’un tel discours avec l’importance qu’a pris la protection des données privées à juste raison peut passer ?
Le cas dont on discute montre que non, et c’est tant mieux.
#60
#61
Si c’était comme tu le racontes, alors il n’aurait pas essayé de résoudre le problème avant d’avoir eu l’amende ou l’avertissement.
Honnêtement, un mtbr de 4h sur une erreur comme ça, ils sont plutôt dans les bon élèves que les mauvais.
Il y a suffisament de cas complètement merdique que la cnil pourrait s’amuser à aligner (ou les gens savent qu’ils ont un problèmes de sécurité mais ne font rien) pour que la “proportionnalitée” de la sanction soit respecté.
Quant à Jonas, même si sa source n’est pas bonne, la proportionnalitée est un principe de base du droit. Il est explicite en droit pénal, mais implicite dans l’ensemble du droit français (c’est d’ailleurs une mamelle du droit constitutionnel, souvent utilisé pour autorisée ou pas une loi . Bref, ce n’est pas juste à jeter en dehors du droit pénal, comme le montre par exemple ce type d’ouvrage https://www.cairn.info/revue-francaise-de-droit-constitutionnel-2007-2-page-269…. )
#62
Remonte les messages (jusqu’au #22)pour voir pourquoi je réponds comme cela. Je ne parlais pas d’Hertz.
Mais, il va falloir que les sociétés comprennent que la sécurité, ce n’est plus en option mais de base pour ce qui concerne les données personnelles. C’est comme cela maintenant et il va falloir qu’elles s’y plient et montre qu’elles ont fait tout ce qu’il fallait en amont.
L’article 34 de la Loi en question date de 2004. Elles ont eu presque 13 ans pour le comprendre et l’appliquer.
Et maintenant, la CNIL peut sanctionner directement, ce qu’elle va faire manifestement. Avant, elle était obligée de se limiter à un avertissement la première fois.
Et de toute façon, il y a possibilité d’attaquer la décision voire de lancer une QPC si l’on pense que la constitution n’est pas respectée.
#63
Je pense qu’on est tous d’accord pour dire qu’il y a d’énorme efforts à faire en sécurité, et qu’il faut que les entreprises arrêtes de voir comme un poste “une fois qu’on a un problème”.
" /> )
Juste que je trouve dommage que couperet pour l’exemple soit tombé sur un type qui a quand même résolu le problème une fois “officiellement remonté” en 4h ;)
Edit : par contre j’attends l’exemple avec GDPR , parce que 10% du CA consolidé, même si c’est un presta qui héberge et fais le traitement, il pourrait y avoir quelques jolis feux d’artifice (sony?
#64
WAF?
Qu’es-ce que c’est?
#65
Web Application Filtering, c’est un reverse proxy qui va contrôler les paramètres et les valeurs fournient au site.
Il y a plusieurs modes d’utilisation, allant de la simple détection d’url foireuse (comme ../../../../etc/passwd) au controle en mode whitelist (tel page peut avoir que tel et tel paramètre, qui eux ne peuvent prendre que tel type de valeur).
Bien entendu, le mode whitelist demande un (bien plus) grand travail, et un suivi accru lors des mises à jour.
Mais le passage d’un paramètre “de debug” sera forcément bloqué car pas dans la règle ;)
#66
Ça complexifie pas encore plus le bousin avec des risques sur la maintence et la sécurité?
Car plus on rajoute de briques, plus c’est difficile à maîtriser.
#67
#68
Une solution WAF aurait-elle été moins chère que l’amende ?
" /> telle est la question, qui ne se pose plus avec la RGPD : jusqu’à 20 millions € ou 4% du chiffres d’affaires annuel, la valeur la plus élevée sera retenue :ouch:
#69
Non, on contraire ça apporte une couche de sécurité là où tes dev n’en ont pas apporté :/ pis bon ça ne fait pas que ça non plus
" />
De toute façon tu en mets jamais un serveur d’application en frontale des clients, il faut toujours passer par un intermédiaire, c’est la règle ! :p en gros et en caricaturant ça donne :
Et bien évidemment les clients sont obligés de pointer sur ton waf :) sinon ça sert à rien