La CNIL vient d’infliger une amende administrative de 180 000 euros à Active Assurances, pour manquement à son obligation de sécuriser les données de ses clients. Pendant plusieurs années, un défaut de conception de son site Internet a rendu accessibles des centaines de milliers de documents personnels.
Des cartes grises, des permis de conduire, des RIB, des attestations d’assurance... Voilà le type de documents auxquels ont pu librement accéder les agents de la CNIL, lors d’un contrôle en ligne réalisé en juin 2018.
Quelques jours plus tôt, l’autorité administrative indépendante avait été alertée par l’un des clients d’Active Assurance, qui s’était aperçu qu’il était possible de récupérer les données d’autres clients, depuis le site de l’assureur, sans que le moindre mot de passe ne lui soit demandé.
En tout, ce sont plusieurs centaines de milliers de documents qui s’avèrent exposés, du fait d’un défaut de sécurité affectant le site web de la société... depuis 2014.
Méconnaissance de « mesures élémentaires » de sécurité
Lors de son contrôle en ligne du 28 juin, la délégation de la CNIL a constaté qu’une requête au sein du moteur de recherche Duckduckgo « faisait apparaître des liens hypertextes permettant d’accéder librement à certains comptes de clients de la société, sans authentification préalable » (ceci à partir des mots clés « client.activeassurances.fr » et « site:client.activeassurances.fr »).
En cliquant sur ces liens, les agents de la CNIL ont pu accéder à des comptes de clients, « comportant notamment leur nom, prénom, adresse postale, adresse électronique, numéro de téléphone ». Il leur fut également possible de « télécharger plusieurs documents PDF concernant des personnes, tels que des pièces d’identité, des devis, des attestations d’assurance automobile ou encore des contrats d’assurance ».
Autre problème : en modifiant un simple numéro apparaissant à la fin d’une des adresses URL affichées dans les résultats proposés par Duckduckgo, il était là encore possible d’accéder à des comptes personnels de clients.
Avertie par téléphone, la société, qui emploie environ 160 salariés (dont 150 situés dans une succursale à Madagascar), a pris des mesures dans les 24 heures pour colmater la fuite. Active Assurance a ainsi modifié le code source de son site web, et notamment « le paramétrage des documents stockés sur le service Microsoft Azure, celui-ci étant, avant l’alerte de la CNIL, configuré de telle sorte que les fichiers étaient accessibles publiquement depuis l’Internet », raconte la gardienne des données personnelles.
Seul hic, l’autorité indépendante constate, le 12 juillet, lors d’un contrôle effectué dans les locaux de l’assureur, qu’en cliquant sur le bouton « en cache » affiché à côté des adresses URL référencées par Yahoo, Bing et Qwant, il est « encore possible d’accéder à des pages contenant des données personnelles des clients ».
Les agents de la CNIL tiquent au passage sur autre chose : « les mots de passe de connexion des clients à leur espace personnel (...) correspondaient à leur date de naissance ». Une pratique d’autant plus embêtante qu'elle était imposée par Active Assurances.
Un défaut de conception remontant à 2014
Au regard de tout ces éléments, la CNIL a décidé d’ouvrir une procédure de sanction à l’encontre d’Active Assurance, sans mise en demeure préalable. Pour la gardienne des données personnelles, rien de tout ceci ne serait arrivé si la société avait pris des « mesures élémentaires de sécurité » lors du développement de son site web, en 2014.
Quand bien même l’assureur a fait valoir auprès de la commission qu’il avait rapidement déployé des « mesures efficaces » pour résoudre le défaut de sécurité dont était affecté son site, la CNIL a considéré, au travers d’une délibération rendue publique jeudi 25 juillet, que l’entreprise avait manqué à son obligation d’assurer la sécurité et la confidentialité des données collectées auprès de ses clients.
Il est d’ailleurs apparu au fil de la procédure qu’un client avait tenté d’alerter Active Assurances en mai 2018, « en vain ». L’autorité indépendante en a conclu que la société n’avait « placé la sécurité des données de ses clients au cœur de ses préoccupations qu’après l’intervention [de ses] services ».
Sur le fond, la CNIL insiste sur le fait que « la violation de données à caractère personnel résultant de ce défaut de sécurité aurait pu être évitée si, par exemple, la société avait mis en œuvre une mesure d’authentification et une gestion des droits d’accès permettant de s’assurer que chaque utilisateur souhaitant accéder à un document était habilité à le consulter ». Et ce d’autant plus que cela « ne nécessitai[t] pas de développements techniques importants ».
Aux yeux de la CNIL, le défaut de sécurité a même été « amplifié par le fait que les documents des personnes, librement accessibles depuis le site web de la société, ont été indexés par (...) Duckduckgo, Bing, Qwant et Yahoo ». Là aussi, il est reproché à Active Assurances ne pas avoir tout simplement utilisé de fichier robots.txt, afin d’éviter un référencement par les moteurs de recherche.
La gardienne des données personnelles a tout autant balayé l’argument, mis en avant par Active Assurances, selon lequel l’identification du défaut de sécurité nécessitait des « compétences techniques informatiques particulières » :
« Cette simple modification du numéro apparaissant dans l’adresse URL est à la portée de tout utilisateur d’un navigateur dès lors que cette adresse apparaît dans le navigateur de tout client de la société se connectant à son compte, affirme la CNIL. La même manipulation pouvait également être effectuée par toute personne qui, à partir d’une recherche effectuée au sein des moteurs de recherche Duckduckgo, Bing, Qwant et Yahoo, voyait affichées dans son navigateur les adresses URL renvoyant vers les comptes des clients de la société. »
Une telle manipulation ne nécessitait « aucune compétence technique particulière », martèle la CNIL, soulignant notamment que la vérification des paramètres URL fait « partie de tous les audits de sécurité web, dans la mesure où il s’agit d’une attaque connue depuis longtemps par la profession des développeurs web ».
L’institution se montre d’autant plus agacée qu’elle a infligé de nombreuses amendes ces derniers mois pour différents défauts de sécurité...
Plusieurs milliers de personnes concernées par cette fuite
Pour la CNIL, l’assureur aurait dû être d’autant plus vigilant que les données et justificatifs qu’il hébergeait via son site web étaient susceptibles de révéler des informations particulièrement précises sur les individus concernés. « Il était ainsi possible d’avoir accès à l’historique des clients en matière d’assurance automobile et de savoir ainsi si une personne avait fait l’objet d’une résiliation ou d’une annulation de contrat pour fausse déclaration ou pour non-paiement d’une prime, ou encore si elle avait fait l’objet d’un retrait de permis ou commis un délit de fuite ou un refus d’obtempérer », explique l’institution.
« De telles données, considérées comment étant des données particulières, doivent faire l’objet de la part des responsables de traitement d’une vigilance et d’une protection renforcées, ce qui n’a pas été le cas en l’espèce », tacle la CNIL.
L’ampleur de la faille a d’ailleurs de quoi donner le tournis. « Les données personnelles et pièces justificatives relatives à tous les contrats conclus par la société, résiliés ou non, étaient librement accessibles en raison du défaut de sécurité constaté », explique la gardienne des données personnelles.
La faille a ainsi exposé 148 359 numéros de téléphone, 144 057 adresses mail, 144 890 copies de carte grise, 137 776 copies de permis de conduire, 119 940 relevés d’identité bancaire, 119 517 devis ou encore 36 068 copies de déclarations de cession d’un véhicule.
Un manque évident de robutesse des mots de passe
De manière plus accessoire, Active Assurance a été épinglé pour ses pratiques en termes de mots de passe. « Le formulaire de connexion des clients à leur espace personnel indiquait expressément le format des mots de passe de connexion, à savoir la date de naissance des personnes, ce qui facilitait considérablement une attaque par force brute, ce d’autant que le format des mots de passe était indiqué sur le formulaire de connexion au compte client », regrette la CNIL.
Un manque évident de « robustesse » aux yeux de la gardienne des données personnelles, quand bien même cela visait à simplifier la vie des assurés, comme l’a fait valoir Active Assurances.
La CNIL a tout autant dénoncé l’envoi de ces mots de passe par mail, en clair, aux clients, après leur création de compte. « Une telle procédure ne permet pas d’assurer la sécurité des données, dès lors que l’envoi d’un courriel non chiffré peut conduire à son interception par toute personne écoutant le réseau et à la prise de connaissance des informations qu’il contient », tonne l’autorité, qui cite également les cas dans lesquels un tiers serait d’une manière plus générale « susceptible d’accéder à la messagerie électronique de la personne concernée ».
Là encore, Active Assurance a selon l’institution « méconnu une mesure de sécurité élémentaire ».
Une sanction « proportionnée » à la gravité des manquements
Au regard de la gravité de ces manquements, le rapporteur plaidait pour une amende de 375 000 euros. La formation restreinte de la CNIL a finalement estimé qu’une sanction de 180 000 euros était « justifiée et proportionnée ».
Si le collège de l’institution a pris en compte la réaction rapide d’Active Assurances et sa coopération, a surtout retenu que « plusieurs milliers » de personnes avaient été concernées par ce défaut de sécurité, « dû à une conception défectueuse » du site web de la société, et qui a « perduré pendant plusieurs années ».
