Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Fuite de milliers de justificatifs sensibles : la CNIL étrille une agence immobilière

Fuite royale
Droit 6 min
Fuite de milliers de justificatifs sensibles : la CNIL étrille une agence immobilière
Crédits : gael_f/iStock

La CNIL vient d’infliger une amende administrative de 400 000 euros à Sergic, une entreprise gérant des biens immobiliers. Pendant au moins six mois, un simple changement de valeur au sein de certaines URL permettait d’avoir accès des documents personnels de clients. L’entreprise avait pourtant été alertée de ce défaut béant de sécurité.

Avis d’imposition, jugements de divorce, relevés de compte, cartes d’identité, RIB, quittances de loyers, pensions d’invalidité, cartes Vitale... Voilà ce à quoi les agents de la Commission nationale de l’informatique et des libertés (CNIL) ont pu accéder, le 7 septembre dernier, dans le cadre d’un contrôle en ligne visant le site Internet de Sergic.

Au total, ce sont 290 870 justificatifs, déposés sur le fameux site par près de 30 000 candidats à la location, qui étaient téléchargeables grâce à une manipulation somme toute basique. Une simple modification du chiffre à la fin de l'URL « https://www.crm.sergic.com/documents/upload/eresa/X.pdf » donnait en effet accès à un nouveau fichier (et non à toute la base de données).

L’entreprise alertée dès le mois de mars

Alertée dans le creux de l’été par un utilisateur du site, la CNIL a rapidement informé Sergic de l’existence de ce défaut de sécurité (à l’issue de son contrôle en ligne). Mais le 13 septembre, lorsque ses agents effectuent un nouveau contrôle, dans les locaux de la société, la fameuse manipulation permet toujours d’accéder aux fichiers en question...

L’entreprise confirme même « qu’un signalement l’informant de ce que des documents étaient librement accessibles depuis le site, sans authentification préalable, lui était parvenu en mars 2018 ».

Sans mise en demeure préalable, l’autorité administrative indépendante a donc décidé d’ouvrir une procédure de sanction à l’encontre de Sergic, notamment pour manquement à son obligation « d’assurer la sécurité et la confidentialité » des données personnelles hébergées sur son site. L’article 32 du RGPD impose en effet aux responsables de traitements de mettre en œuvre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté » aux informations collectées par leurs soins.

Dans sa délibération, rendue publique aujourd’hui, la CNIL a sans grande surprise dénoncé la « conception défectueuse du site », caractérisée par « l’absence de mise en place d’une procédure d’authentification des utilisateurs ».

« La violation de données résultant de ce défaut de sécurité aurait pu être évitée si, par exemple, la société avait mis en œuvre un moyen d’authentification permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement sur le répertoire en question, et que seules celles-ci pouvaient y accéder », souligne la CNIL.

L’autorité se montre d’autant plus agacée que le déploiement d’une telle fonctionnalité constitue selon elle « une précaution d’usage essentielle ». Elle en rajoute une couche, expliquant que « l’exposition de données à caractère personnel sans contrôle d’accès préalable est identifiée comme faisant partie des vulnérabilités les plus répandues et qu’elle a déjà prononcé de nombreuses sanctions pécuniaires publiques pour des faits similaires » (voir par exemple ici ou ).

Sergic a malgré tout tenté de se défendre en affirmant que l’exploitation de la vulnérabilité nécessitait des « compétences particulières », et « qu’elle n’était possible qu’en ayant connaissance de l’adresse URL https://www.crm.sergic.com/documents/upload/eresa/X.pdf ». Des arguments balayés par la CNIL, pour qui « l’exploitation de la vulnérabilité ne requérait pas de maîtrise technique particulière en matière informatique ».

« La simple modification de la valeur de X dans l’adresse URL (...) permettait à toute personne ayant connaissance de l’URL précitée de télécharger les documents en question, sans que la création préalable d’un compte sur le site soit nécessaire, et sans que cela requière une manipulation plus compliquée que la simple modification de la valeur X , qui correspond à un nombre », insiste la gardienne des données personnelles.

La CNIL déplore l'absence de mesure d'urgence

Au promoteur immobilier, qui faisait valoir qu’aucun internaute ne s’était plaint d’une utilisation malveillante de ses données suite à cette fuite, la CNIL a sèchement répondu : « Quand bien même aucune personne physique n’a, à ce jour, rapporté avoir subi un dommage en raison de la violation de données, le manque de célérité de la société dans la correction de la vulnérabilité, pendant une durée d’au moins six mois, a eu pour effet de prolonger le risque qu’un tel dommage ne survienne. »

Enfin, la commission a largement épinglé le laisser-aller de Sergic. « L’existence de la vulnérabilité sur le site www.sergic.com a été portée à la connaissance de la société dès le 8 mars 2018 et n’a été résolue qu’en septembre 2018. Les données personnelles des utilisateurs ont donc été accessibles durant au moins six mois alors même que la société Sergic en avait connaissance », déplore ainsi l’autorité.

L’entreprise a néanmoins expliqué à la CNIL avoir planifié la correction de la vulnérabilité sur plusieurs mois, la période estivale (durant laquelle il y aurait un pic de demandes de locations) ne se prêtant guère à une opération informatique d’envergure.

Si la gardienne des données personnelles admet que la correction de la faille « pouvait nécessiter des phases d’analyse et de développements techniques », elle rétorque néanmoins que « des mesures d’urgence n’ayant pas pour objectif de corriger la vulnérabilité mais de réduire l’ampleur de la violation de données étaient techniquement simples à mettre en place et auraient pu être rapidement déployées ». Ce qui n’a pas été le cas.

Pire : « Il apparaît que la société, consciente de l’augmentation de ses activités à partir du mois de mai, en raison de la forte demande de locations, a fait le choix de privilégier la stabilité de son système d’information durant cette période à la correction de la vulnérabilité des données personnelles qu’il comportait ». L’autorité considère ainsi que Sergic aurait dû « anticiper cette difficulté et (...) prendre a minima toutes les mesures nécessaires dès la connaissance de cette vulnérabilité ».

Un manquement « aggravé » au regard de la sensibilité des données ayant fuité

L’institution a même considéré que le manquement à l’obligation de sécurité était « aggravé » au regard de la nature des données en question : « Les documents transmis par les candidats à la location sont de nature très diverse et figuraient notamment, parmi les documents en question, des actes de mariage, des jugements de divorce, des contrats de travail, des documents relatifs à des prestations sociales ou encore des avis d’imposition. Ces documents contiennent à la fois des données d’identification, telles que le nom, le prénom et les coordonnées, mais également une grande quantité d’informations susceptibles de révéler certains aspects parmi les plus intimes de la vie des personnes, comme les jugements de divorce. »

La CNIL a enfin profité de cette affaire pour sanctionner un autre manquement du promoteur immobilier : une conservation trop longue de justificatifs déposés par les candidats à la location. Sergic a ainsi reconnu que « les documents transmis par les candidats n’ayant pas accédé à la location, c’est-à-dire ceux pour lesquels la poursuite du traitement n’était plus justifiée, n’étaient pas supprimés et qu’aucune purge n’était mise en œuvre en base de données ». Or ceux-ci ne peuvent pas être conservés plus de trois mois.

Alors que le rapporteur proposait d’infliger une amende administrative de 900 000 euros à l’entreprise (qui a réalisé un chiffre d’affaires de plus de 40 millions d’euros en 2017), la formation restreinte de la CNIL a finalement placé le curseur à 400 000 euros.

Cette décision, rendue publique, reste susceptible de recours devant le Conseil d’État.

17 commentaires
Avatar de anonyme_f6b62d162990fde261db0e0ba2db118e Abonné

Mais à ce niveau là ce n'est plus à une autorité de régulation de faire quelque chose. Tant que les décideurs de la boîte ne risquent pas la prison, pas d'espoir d'amélioration...

Édité par recoding le 06/06/2019 à 15:22
Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 06/06/19 à 15:32:47

Sergic championne de France ?

Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 06/06/19 à 15:38:36

Ah, les agences immobiliers, on pourrait écrire des bouquins entiers avec leur inepties... Déjà qu'ils ne savent pas correctement faire leur boulot, coment pourrait-on leur demander de gérer un site web ?

J'admire en tout cas les arguments de Sergic, pour eux la faille n'est pas grave, vu que personne ne s'est plaint. "Les cons ça ose tout..." :clap:

« les documents transmis par les candidats n’ayant pas accédé à la
location, c’est-à-dire ceux pour lesquels la poursuite du traitement
n’était plus justifiée, n’étaient pas supprimés et qu’aucune purge
n’était mise en œuvre en base de données ».

J'ai moi-même déposé une plainte en 2016, pour une agence qui ne répondait pas à mes demandes de suppression des données. Je n'ai jaais eu un seul retour de la CNIL. Et je présume que bon nombre d'agences ne font pas le ménage dans ces données très critiques. Si toutes les personnes ayant recours à leurs services prenaient la peine d'utiliser leur droit de suppression, et saisissaient la CNIL à chaque refus/silence, ça nettoyerait un peu ce milieu crapuleux.

Avatar de revker Abonné
Avatar de revkerrevker- 06/06/19 à 15:40:46

C'est vrai que pour changer un mot dans une url, ça requiert tellement de compétences informatiques....

Avatar de Juju251 Abonné
Avatar de Juju251Juju251- 06/06/19 à 15:46:08

J'apprécie beaucoup leur "justification" et notamment ce passage : "Au promoteur immobilier, qui faisait valoir qu’aucun internaute ne
s’était plaint d’une utilisation malveillante de ses données suite à
cette fuite" ...

Tu parles, si quelqu'un parmi leurs clients  a été victime d'une usurpation d'identité, il faudrait déjà qu'il fasse le rapprochement entre le fait d'avoir donné ce papier à l'agence en question et le fait qu'il aurait pu y avoir une fuite ...

C'est un peu comme si demain un service de voirie disait : "Non, mais on ne va pas remettre une bouche d'égout qui manque, pour l'instant personne n'est tombé dans le trou" ...

Du très grand n'importe quoi ... :reflechis:

Édité par Juju251 le 06/06/2019 à 15:46
Avatar de pierreonthenet Abonné
Avatar de pierreonthenetpierreonthenet- 06/06/19 à 16:13:13

Pourquoi "que" 400 000 euros ?
Ce n'est "pas si grave" selon la CNIL ? Qu'est-ce qui justifiera une sanction de 4% du CA mondial, du coup ? Il faut qu'il y ai les données personnelles des membres de la CNIL ?

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 06/06/19 à 16:23:07

pierreonthenet a écrit :

Pourquoi "que" 400 000 euros ?
Ce n'est "pas si grave" selon la CNIL ? Qu'est-ce qui justifiera une sanction de 4% du CA mondial, du coup ?

Non, celles du président de la république :D

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 06/06/19 à 16:45:00

pierreonthenet a écrit :

Pourquoi "que" 400 000 euros ?
Ce n'est "pas si grave" selon la CNIL ? Qu'est-ce qui justifiera une sanction de 4% du CA mondial, du coup ? Il faut qu'il y ai les données personnelles des membres de la CNIL ?

C'est j'imagine supposé être suffisant pour faire peur aux autres et ainsi servir d'exemple.

Avatar de KP2 Abonné
Avatar de KP2KP2- 06/06/19 à 17:06:53

pierreonthenet a écrit :

Pourquoi "que" 400 000 euros ?
Ce n'est "pas si grave" selon la CNIL ? Qu'est-ce qui justifiera une sanction de 4% du CA mondial, du coup ? Il faut qu'il y ai les données personnelles des membres de la CNIL ?

Parce que la CNIL est *beaucoup* trop tolérante... D'ailleurs, elle n'a longtemps pas eu de pouvoir de sanction alors elle travaillait dans la "bienveillance" quoi...

Avatar de JoePike INpactien
Avatar de JoePikeJoePike- 06/06/19 à 17:22:53

Juju251 a écrit :

J'apprécie beaucoup leur "justification" et notamment ce passage : "Au promoteur immobilier, qui faisait valoir qu’aucun internaute ne
s’était plaint d’une utilisation malveillante de ses données suite à
cette fuite" ....

:D
D'un autre côté c'est pas débile vu le nombre de plaintes que reçoit ce syndic pour d'autres trucs
des médiocres de chez médiocres

Il n'est plus possible de commenter cette actualité.
Page 1 / 2
  • Introduction
  • L’entreprise alertée dès le mois de mars
  • La CNIL déplore l'absence de mesure d'urgence
  • Un manquement « aggravé » au regard de la sensibilité des données ayant fuité
S'abonner à partir de 3,75 €