Fuite de données : la CNIL inflige une amende de 250 000 euros à Bouygues Télécom

Sans mise en demeure préalable, la CNIL vient d’infliger une sanction de 250 000 euros à Bouygues Télécom. Pendant plus de deux ans, un simple changement de valeur au sein de certaines URL permettait d’avoir accès aux contrats et factures de millions d’abonnés B&You.

 « La violation de données a concerné plus de deux millions d’utilisateurs, soit un nombre très important de personnes », déplore la Commission nationale de l’informatique et des libertés (CNIL) au travers d’une délibération adoptée hier.

L’institution regrette surtout que des « données identifiantes telles que le nom, le prénom, la date de naissance, l’adresse de courrier électronique, l’adresse physique, le numéro de téléphone mobile » de clients Bouygues Télécom aient été « accessibles librement et sans contrôle » pendant « plus de deux ans et trois mois », « faute de vigilance adaptée » de la part de l’opérateur.

La société a néanmoins bénéficié d’une certaine clémence dans la mesure où elle a fait preuve, selon l’autorité administrative, d’une « grande réactivité ».

Une vulnérabilité affectant l’espace personnel des abonnés B&You

La CNIL s’est vue signaler le 2 mars dernier l’existence d’un défaut de sécurité affectant le site « www.bouyguestelecom.fr ». Quatre jours plus tard, l’opérateur avertissait de lui-même la gardienne des données personnelles de cette vulnérabilité (dont il aurait été avisé via Twitter).

Le problème se situait au niveau de l’espace personnel des clients Bouygues Télécom :

« Les adresses URL composées comme suit https://www.bouyguestelecom.fr/archived/index/printcontract/archived_id/X, où X représente un nombre entier, permettaient d’afficher le contrat de souscription d’un client. À partir de cette adresse URL, et en modifiant la valeur de X, il était possible d’afficher le contrat d’un autre client. »

Les données accessibles grâce à cette manipulation basique « étaient contenues dans une table, intitulée archived_contract_invoice, composant la base de données MySQL du site de la société ». Ce fichier contenait 2 176 236 lignes, visant toutes des clients B&You – les forfaits « low cost » de Bouygues Télécom. Les clients traditionnels de l’opérateur (y compris professionnels) n’étaient donc pas concernés.

« Une première série de mesures a été déployée le 5 mars afin d’empêcher l’accès aux données, avant que les équipes techniques ne découvrent l’origine exacte de la vulnérabilité et y remédient », explique la CNIL. Lors d’un contrôle sur place, effectué le 9 mars, les agents de la commission ont d’ailleurs constaté « qu’il n’était effectivement plus possible d’afficher les contrats et factures accessibles à partir des URL susvisées ».

Une faille présente depuis plus de deux ans

Il s’est toutefois avéré que cette faille, bien que colmatée rapidement, était loin d’être récente. L’opérateur a en effet expliqué à la CNIL que « la vulnérabilité trouvait son origine dans la fusion des marques Bouygues Telecom et B&You et des systèmes informatiques correspondants, en 2015 » :

« À l’occasion de tests effectués à la suite de la fusion de ces bases de données, le code informatique rendant nécessaire l’authentification au site web www.bouyguestelecom.fr avait été désactivé. En raison d’une erreur humaine commise par une personne agissant pour le compte de la société, ce code n’a pas été réactivé à l’issue des tests réalisés. »

En plus de la durée de la fuite, ce sont également ses causes qui ont tout particulièrement interpelé la gardienne des données personnelles – ce défaut de sécurité s’expliquant finalement par un bête « oubli ».

Bouygues a tenté de se défendre en affirmant n’avoir commis « aucun manquement », la fuite ne résultant pas de « l’insuffisance des mesures qu’elle aurait prises en matière de sécurité mais d’une erreur humaine ». La société justifiait d’ailleurs de la réalisation de « plusieurs tests d’intrusion » et d’audits portant sur le code de son site web. Ceux-ci n’avaient toutefois pas permis de découvrir la fameuse vulnérabilité, puisqu’ils « n’étaient pas adaptés aux spécificités de la base héritée ».

Pour la CNIL, Bouygues a malgré tout manqué à son obligation d’assurer la sécurité et la confidentialité des données de ses clients. « Si l’oubli de réactiver le code rendant nécessaire l’authentification des utilisateurs sur le site web de la société est effectivement une erreur humaine, dont la société ne peut se prémunir totalement, le fait de ne pas avoir mis en œuvre, pendant plus de deux années, les mesures efficaces permettant de découvrir cette erreur constitue une violation des obligations imposées par [la loi Informatique et Libertés] », retient la gardienne des données personnelles.

L’autorité estime en ce sens que « des mesures de revue automatisée du code adaptées aux spécificités du système d’information hérité et une revue manuelle de la partie du code en charge de l’authentification auraient permis de découvrir la vulnérabilité et d’y remédier ». Et pour cause, « le code commenté comportait spécifiquement l’indication qu’il devait être supprimé à l’issue de la phase de test ».

Faits antérieurs à l'entrée en application du RGPD

Après avoir envisagé une sanction pécuniaire de 500 000 euros (sachant que l’addition peut atteindre 3 millions d’euros pour des faits antérieurs à l’entrée en application du RGPD), la CNIL a finalement décidé d’infliger une amende de 250 000 euros à Bouygues Télécom.

L’autorité a jugé que la société avait été « très réactive dans la mise en place d’une cellule de crise et le déploiement de mesures visant à rendre inaccessibles les données à caractère personnel concernées ». Elle a d’autre part « mis en œuvre un grand nombre de mesures afin de minimiser l’impact d’une éventuelle violation de données pour ses clients, notamment le rappel des bonnes pratiques et la mise à disposition de fiches contenant des conseils pour ses clients, la lutte contre le phishing, la surveillance du dark web et la formation de ses salariés ».

Au regard néanmoins de « la gravité du manquement », ainsi que « du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les responsables de traitements et les internautes quant aux risques pesant sur la sécurité des données », la CNIL a estimé qu’il y avait lieu de rendre publique sa décision.