Cnil : 413 144 documents personnels librement accessibles, 30 000 euros d’amende

La Cnil vient d’infliger une sanction de 30 000 euros à l’Alliance française de Paris suite à la fuite de plusieurs centaines de milliers de documents personnels. Pendant plusieurs mois, un simple changement de valeur au sein de certaines URL permettait d’avoir accès à ces fichiers.

Factures, certificats d’inscription, récapitulatif des cours suivis... Voilà le type de documents personnels auxquels ont pu librement accéder, en décembre 2017, les agents de la Commission nationale de l’informatique et des libertés (Cnil), dans le cadre d’un contrôle en ligne visant le site Internet de l’Alliance française « Paris Ile-de-France ».

Quelques jours plus tôt, la gardienne des données personnelles avait été alertée de l’existence d’un « défaut de sécurité » affectant un sous-domaine du site de l’association (qui propose des cours de français).

Des données restées accessibles plus de deux mois après le premier contrôle de la Cnil

Le problème, constaté par les agents de la Cnil, concernait des adresses du type :

https://portail.alliancefr.org/utilisateur/telecharger_document?id_document=1 

Une simple modification du chiffre à la fin de l’URL permettait de « télécharger des documents contenant des données à caractère personnel ». La faille était loin d’être bénigne : 15 611 fichiers sont récupérés lors du contrôle, lesquels « contenaient tous au moins un nom et un prénom » et parfois même « une adresse postale et une nationalité ».

Avertie, l’Alliance française a fait savoir à l’autorité administrative indépendante qu’elle procéderait « au plus tôt à la mise en place d’un correctif empêchant cette fuite de données ».

Mais problème : au cours d’un contrôle sur place, diligenté deux mois plus tard, la Cnil découvre que les documents qu’elle avait réussi à télécharger le 4 décembre 2017 étaient toujours accessibles, à partir des mêmes adresses URL... Au total, il s’avère que 413 144 fichiers étaient récupérables en quelques manipulations.

L’histoire ne s’arrête pas là. Le 23 février 2018, un second contrôle en ligne est effectué par les agents de la Cnil. Et rebelote : il s’avère que « les documents pouvaient toujours être téléchargés ».

Il aura finalement fallu attendre le 2 mars pour que l’association indique à la gardienne des données personnelles que des correctifs mettant fin à la fuite venaient d’être mis en place.

Litige avec le sous-traitant

Mise en cause par la Cnil, l’Alliance française s’est tout d’abord défendue en expliquant qu’elle était en conflit avec le sous-traitant en charge de son site Internet, dont le contrat venait d’être rompu. L’association voulait ainsi impérativement attendre qu’un huissier constate la fuite avant de procéder à son colmatage. Constat qui a finalement été réalisé le 20 décembre 2017.

L’institution a également tenté de faire valoir qu’aucun utilisateur n’avait « exploité la vulnérabilité contenue dans les adresses URL en question ».

Ces arguments n’ont toutefois pas convaincu la Cnil. Il faut dire que l’Alliance française avait également reconnu avoir été alertée en juillet 2017, par email, de l’existence d’une vulnérabilité sur le sous-domaine litigieux, mais qu’elle n’avait pas réussi à contacter son auteur.

Pour la Cnil, l’association « aurait dû faire preuve d’une vigilance accrue » suite à cet avertissement. Au travers d’une délibération en date du 6 septembre, l’autorité retient plus largement que l’Alliance française « n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées ».

Une vulnérabilité exploitable sans « compétence particulière »

L’institution a à ses yeux d’autant plus manqué à son obligation d’assurer la sécurité et la confidentialité des données qui lui étaient confiées que « l’exploitation de cette vulnérabilité ne nécessitait aucune compétence particulière ». Une « simple modification » de valeur dans l’URL suffisait.

« Cette vulnérabilité très fréquente aurait pu être évitée si par exemple, l’association avait mis en œuvre un moyen d’authentification permettant de s’assurer que les personnes accédant aux documents étaient bien celles dont les données personnelles étaient contenues dans lesdits documents et éventuellement accompagné d’un dispositif permettant d’éviter la prévisibilité des URL », souligne au passage la Cnil. Cette dernière se montre d’autant plus agacée que ce type de problème est identifié « comme faisant partie des failles de sécurité les plus répandues et pour lesquelles une surveillance particulière s’impose ».

Pour la commission, pas question non plus de s’abriter derrière le sous-traitant : « La circonstance selon laquelle une violation de données ait pu avoir pour origine une erreur commise par un sous-traitant est sans influence sur l’obligation pesant sur le responsable de traitement d’assurer un suivi rigoureux des actions menées par ce dernier. »

La Cnil a donc décidé d’infliger une sanction de 30 000 euros à l’Alliance française, sur la base des dispositions légales antérieures au RGPD. Celle-ci a été rendue publique aujourd'hui « au regard de la gravité du manquement précité », mais aussi « du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les responsables de traitement et les internautes quant aux risques pesant sur la sécurité des données ».