La CNIL vient d’infliger une amende administrative de 400 000 euros à Sergic, une entreprise gérant des biens immobiliers. Pendant au moins six mois, un simple changement de valeur au sein de certaines URL permettait d’avoir accès des documents personnels de clients. L’entreprise avait pourtant été alertée de ce défaut béant de sécurité.
Avis d’imposition, jugements de divorce, relevés de compte, cartes d’identité, RIB, quittances de loyers, pensions d’invalidité, cartes Vitale... Voilà ce à quoi les agents de la Commission nationale de l’informatique et des libertés (CNIL) ont pu accéder, le 7 septembre dernier, dans le cadre d’un contrôle en ligne visant le site Internet de Sergic.
Au total, ce sont 290 870 justificatifs, déposés sur le fameux site par près de 30 000 candidats à la location, qui étaient téléchargeables grâce à une manipulation somme toute basique. Une simple modification du chiffre à la fin de l'URL « https://www.crm.sergic.com/documents/upload/eresa/X.pdf » donnait en effet accès à un nouveau fichier (et non à toute la base de données).
L’entreprise alertée dès le mois de mars
Alertée dans le creux de l’été par un utilisateur du site, la CNIL a rapidement informé Sergic de l’existence de ce défaut de sécurité (à l’issue de son contrôle en ligne). Mais le 13 septembre, lorsque ses agents effectuent un nouveau contrôle, dans les locaux de la société, la fameuse manipulation permet toujours d’accéder aux fichiers en question...
L’entreprise confirme même « qu’un signalement l’informant de ce que des documents étaient librement accessibles depuis le site, sans authentification préalable, lui était parvenu en mars 2018 ».
Sans mise en demeure préalable, l’autorité administrative indépendante a donc décidé d’ouvrir une procédure de sanction à l’encontre de Sergic, notamment pour manquement à son obligation « d’assurer la sécurité et la confidentialité » des données personnelles hébergées sur son site. L’article 32 du RGPD impose en effet aux responsables de traitements de mettre en œuvre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté » aux informations collectées par leurs soins.
Dans sa délibération, rendue publique aujourd’hui, la CNIL a sans grande surprise dénoncé la « conception défectueuse du site », caractérisée par « l’absence de mise en place d’une procédure d’authentification des utilisateurs ».
« La violation de données résultant de ce défaut de sécurité aurait pu être évitée si, par exemple, la société avait mis en œuvre un moyen d’authentification permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement sur le répertoire en question, et que seules celles-ci pouvaient y accéder », souligne la CNIL.
L’autorité se montre d’autant plus agacée que le déploiement d’une telle fonctionnalité constitue selon elle « une précaution d’usage essentielle ». Elle en rajoute une couche, expliquant que « l’exposition de données à caractère personnel sans contrôle d’accès préalable est identifiée comme faisant partie des vulnérabilités les plus répandues et qu’elle a déjà prononcé de nombreuses sanctions pécuniaires publiques pour des faits similaires » (voir par exemple ici ou là).
Sergic a malgré tout tenté de se défendre en affirmant que l’exploitation de la vulnérabilité nécessitait des « compétences particulières », et « qu’elle n’était possible qu’en ayant connaissance de l’adresse URL https://www.crm.sergic.com/documents/upload/eresa/X.pdf ». Des arguments balayés par la CNIL, pour qui « l’exploitation de la vulnérabilité ne requérait pas de maîtrise technique particulière en matière informatique ».
« La simple modification de la valeur de X dans l’adresse URL (...) permettait à toute personne ayant connaissance de l’URL précitée de télécharger les documents en question, sans que la création préalable d’un compte sur le site soit nécessaire, et sans que cela requière une manipulation plus compliquée que la simple modification de la valeur X , qui correspond à un nombre », insiste la gardienne des données personnelles.
La CNIL déplore l'absence de mesure d'urgence
Au promoteur immobilier, qui faisait valoir qu’aucun internaute ne s’était plaint d’une utilisation malveillante de ses données suite à cette fuite, la CNIL a sèchement répondu : « Quand bien même aucune personne physique n’a, à ce jour, rapporté avoir subi un dommage en raison de la violation de données, le manque de célérité de la société dans la correction de la vulnérabilité, pendant une durée d’au moins six mois, a eu pour effet de prolonger le risque qu’un tel dommage ne survienne. »
Enfin, la commission a largement épinglé le laisser-aller de Sergic. « L’existence de la vulnérabilité sur le site www.sergic.com a été portée à la connaissance de la société dès le 8 mars 2018 et n’a été résolue qu’en septembre 2018. Les données personnelles des utilisateurs ont donc été accessibles durant au moins six mois alors même que la société Sergic en avait connaissance », déplore ainsi l’autorité.
L’entreprise a néanmoins expliqué à la CNIL avoir planifié la correction de la vulnérabilité sur plusieurs mois, la période estivale (durant laquelle il y aurait un pic de demandes de locations) ne se prêtant guère à une opération informatique d’envergure.
Si la gardienne des données personnelles admet que la correction de la faille « pouvait nécessiter des phases d’analyse et de développements techniques », elle rétorque néanmoins que « des mesures d’urgence n’ayant pas pour objectif de corriger la vulnérabilité mais de réduire l’ampleur de la violation de données étaient techniquement simples à mettre en place et auraient pu être rapidement déployées ». Ce qui n’a pas été le cas.
Pire : « Il apparaît que la société, consciente de l’augmentation de ses activités à partir du mois de mai, en raison de la forte demande de locations, a fait le choix de privilégier la stabilité de son système d’information durant cette période à la correction de la vulnérabilité des données personnelles qu’il comportait ». L’autorité considère ainsi que Sergic aurait dû « anticiper cette difficulté et (...) prendre a minima toutes les mesures nécessaires dès la connaissance de cette vulnérabilité ».
Un manquement « aggravé » au regard de la sensibilité des données ayant fuité
L’institution a même considéré que le manquement à l’obligation de sécurité était « aggravé » au regard de la nature des données en question : « Les documents transmis par les candidats à la location sont de nature très diverse et figuraient notamment, parmi les documents en question, des actes de mariage, des jugements de divorce, des contrats de travail, des documents relatifs à des prestations sociales ou encore des avis d’imposition. Ces documents contiennent à la fois des données d’identification, telles que le nom, le prénom et les coordonnées, mais également une grande quantité d’informations susceptibles de révéler certains aspects parmi les plus intimes de la vie des personnes, comme les jugements de divorce. »
La CNIL a enfin profité de cette affaire pour sanctionner un autre manquement du promoteur immobilier : une conservation trop longue de justificatifs déposés par les candidats à la location. Sergic a ainsi reconnu que « les documents transmis par les candidats n’ayant pas accédé à la location, c’est-à-dire ceux pour lesquels la poursuite du traitement n’était plus justifiée, n’étaient pas supprimés et qu’aucune purge n’était mise en œuvre en base de données ». Or ceux-ci ne peuvent pas être conservés plus de trois mois.
Alors que le rapporteur proposait d’infliger une amende administrative de 900 000 euros à l’entreprise (qui a réalisé un chiffre d’affaires de plus de 40 millions d’euros en 2017), la formation restreinte de la CNIL a finalement placé le curseur à 400 000 euros.
Cette décision, rendue publique, reste susceptible de recours devant le Conseil d’État.
