Fuite de milliers de justificatifs sensibles : la CNIL étrille une agence immobilière

Fuite de milliers de justificatifs sensibles : la CNIL étrille une agence immobilière

Fuite royale

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

06/06/2019 8 minutes
17

Fuite de milliers de justificatifs sensibles : la CNIL étrille une agence immobilière

La CNIL vient d’infliger une amende administrative de 400 000 euros à Sergic, une entreprise gérant des biens immobiliers. Pendant au moins six mois, un simple changement de valeur au sein de certaines URL permettait d’avoir accès des documents personnels de clients. L’entreprise avait pourtant été alertée de ce défaut béant de sécurité.

Avis d’imposition, jugements de divorce, relevés de compte, cartes d’identité, RIB, quittances de loyers, pensions d’invalidité, cartes Vitale... Voilà ce à quoi les agents de la Commission nationale de l’informatique et des libertés (CNIL) ont pu accéder, le 7 septembre dernier, dans le cadre d’un contrôle en ligne visant le site Internet de Sergic.

Au total, ce sont 290 870 justificatifs, déposés sur le fameux site par près de 30 000 candidats à la location, qui étaient téléchargeables grâce à une manipulation somme toute basique. Une simple modification du chiffre à la fin de l'URL « https://www.crm.sergic.com/documents/upload/eresa/X.pdf » donnait en effet accès à un nouveau fichier (et non à toute la base de données).

L’entreprise alertée dès le mois de mars

Alertée dans le creux de l’été par un utilisateur du site, la CNIL a rapidement informé Sergic de l’existence de ce défaut de sécurité (à l’issue de son contrôle en ligne). Mais le 13 septembre, lorsque ses agents effectuent un nouveau contrôle, dans les locaux de la société, la fameuse manipulation permet toujours d’accéder aux fichiers en question...

L’entreprise confirme même « qu’un signalement l’informant de ce que des documents étaient librement accessibles depuis le site, sans authentification préalable, lui était parvenu en mars 2018 ».

Sans mise en demeure préalable, l’autorité administrative indépendante a donc décidé d’ouvrir une procédure de sanction à l’encontre de Sergic, notamment pour manquement à son obligation « d’assurer la sécurité et la confidentialité » des données personnelles hébergées sur son site. L’article 32 du RGPD impose en effet aux responsables de traitements de mettre en œuvre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté » aux informations collectées par leurs soins.

Dans sa délibération, rendue publique aujourd’hui, la CNIL a sans grande surprise dénoncé la « conception défectueuse du site », caractérisée par « l’absence de mise en place d’une procédure d’authentification des utilisateurs ».

« La violation de données résultant de ce défaut de sécurité aurait pu être évitée si, par exemple, la société avait mis en œuvre un moyen d’authentification permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement sur le répertoire en question, et que seules celles-ci pouvaient y accéder », souligne la CNIL.

L’autorité se montre d’autant plus agacée que le déploiement d’une telle fonctionnalité constitue selon elle « une précaution d’usage essentielle ». Elle en rajoute une couche, expliquant que « l’exposition de données à caractère personnel sans contrôle d’accès préalable est identifiée comme faisant partie des vulnérabilités les plus répandues et qu’elle a déjà prononcé de nombreuses sanctions pécuniaires publiques pour des faits similaires » (voir par exemple ici ou ).

Sergic a malgré tout tenté de se défendre en affirmant que l’exploitation de la vulnérabilité nécessitait des « compétences particulières », et « qu’elle n’était possible qu’en ayant connaissance de l’adresse URL https://www.crm.sergic.com/documents/upload/eresa/X.pdf ». Des arguments balayés par la CNIL, pour qui « l’exploitation de la vulnérabilité ne requérait pas de maîtrise technique particulière en matière informatique ».

« La simple modification de la valeur de X dans l’adresse URL (...) permettait à toute personne ayant connaissance de l’URL précitée de télécharger les documents en question, sans que la création préalable d’un compte sur le site soit nécessaire, et sans que cela requière une manipulation plus compliquée que la simple modification de la valeur X , qui correspond à un nombre », insiste la gardienne des données personnelles.

La CNIL déplore l'absence de mesure d'urgence

Au promoteur immobilier, qui faisait valoir qu’aucun internaute ne s’était plaint d’une utilisation malveillante de ses données suite à cette fuite, la CNIL a sèchement répondu : « Quand bien même aucune personne physique n’a, à ce jour, rapporté avoir subi un dommage en raison de la violation de données, le manque de célérité de la société dans la correction de la vulnérabilité, pendant une durée d’au moins six mois, a eu pour effet de prolonger le risque qu’un tel dommage ne survienne. »

Enfin, la commission a largement épinglé le laisser-aller de Sergic. « L’existence de la vulnérabilité sur le site www.sergic.com a été portée à la connaissance de la société dès le 8 mars 2018 et n’a été résolue qu’en septembre 2018. Les données personnelles des utilisateurs ont donc été accessibles durant au moins six mois alors même que la société Sergic en avait connaissance », déplore ainsi l’autorité.

L’entreprise a néanmoins expliqué à la CNIL avoir planifié la correction de la vulnérabilité sur plusieurs mois, la période estivale (durant laquelle il y aurait un pic de demandes de locations) ne se prêtant guère à une opération informatique d’envergure.

Si la gardienne des données personnelles admet que la correction de la faille « pouvait nécessiter des phases d’analyse et de développements techniques », elle rétorque néanmoins que « des mesures d’urgence n’ayant pas pour objectif de corriger la vulnérabilité mais de réduire l’ampleur de la violation de données étaient techniquement simples à mettre en place et auraient pu être rapidement déployées ». Ce qui n’a pas été le cas.

Pire : « Il apparaît que la société, consciente de l’augmentation de ses activités à partir du mois de mai, en raison de la forte demande de locations, a fait le choix de privilégier la stabilité de son système d’information durant cette période à la correction de la vulnérabilité des données personnelles qu’il comportait ». L’autorité considère ainsi que Sergic aurait dû « anticiper cette difficulté et (...) prendre a minima toutes les mesures nécessaires dès la connaissance de cette vulnérabilité ».

Un manquement « aggravé » au regard de la sensibilité des données ayant fuité

L’institution a même considéré que le manquement à l’obligation de sécurité était « aggravé » au regard de la nature des données en question : « Les documents transmis par les candidats à la location sont de nature très diverse et figuraient notamment, parmi les documents en question, des actes de mariage, des jugements de divorce, des contrats de travail, des documents relatifs à des prestations sociales ou encore des avis d’imposition. Ces documents contiennent à la fois des données d’identification, telles que le nom, le prénom et les coordonnées, mais également une grande quantité d’informations susceptibles de révéler certains aspects parmi les plus intimes de la vie des personnes, comme les jugements de divorce. »

La CNIL a enfin profité de cette affaire pour sanctionner un autre manquement du promoteur immobilier : une conservation trop longue de justificatifs déposés par les candidats à la location. Sergic a ainsi reconnu que « les documents transmis par les candidats n’ayant pas accédé à la location, c’est-à-dire ceux pour lesquels la poursuite du traitement n’était plus justifiée, n’étaient pas supprimés et qu’aucune purge n’était mise en œuvre en base de données ». Or ceux-ci ne peuvent pas être conservés plus de trois mois.

Alors que le rapporteur proposait d’infliger une amende administrative de 900 000 euros à l’entreprise (qui a réalisé un chiffre d’affaires de plus de 40 millions d’euros en 2017), la formation restreinte de la CNIL a finalement placé le curseur à 400 000 euros.

Cette décision, rendue publique, reste susceptible de recours devant le Conseil d’État.

17

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

L’entreprise alertée dès le mois de mars

La CNIL déplore l'absence de mesure d'urgence

Un manquement « aggravé » au regard de la sensibilité des données ayant fuité

Commentaires (17)


Mais à ce niveau là ce n’est plus à une autorité de régulation de faire quelque chose. Tant que les décideurs de la boîte ne risquent pas la prison, pas d’espoir d’amélioration…


Sergic championne de France ?


Ah, les agences immobiliers, on pourrait écrire des bouquins entiers avec leur inepties… Déjà qu’ils ne savent pas correctement faire leur boulot, coment pourrait-on leur demander de gérer un site web ?



J’admire en tout cas les arguments de Sergic, pour eux la faille n’est pas grave, vu que personne ne s’est plaint. “Les cons ça ose tout…” :clap:





« les documents transmis par les candidats n’ayant pas accédé à la

location, c’est-à-dire ceux pour lesquels la poursuite du traitement

n’était plus justifiée, n’étaient pas supprimés et qu’aucune purge

n’était mise en œuvre en base de données ».





J’ai moi-même déposé une plainte en 2016, pour une agence qui ne répondait pas à mes demandes de suppression des données. Je n’ai jaais eu un seul retour de la CNIL. Et je présume que bon nombre d’agences ne font pas le ménage dans ces données très critiques. Si toutes les personnes ayant recours à leurs services prenaient la peine d’utiliser leur droit de suppression, et saisissaient la CNIL à chaque refus/silence, ça nettoyerait un peu ce milieu crapuleux.


C’est vrai que pour changer un mot dans une url, ça requiert tellement de compétences informatiques….


J’apprécie beaucoup leur “justification” et notamment ce passage : “Au promoteur immobilier, qui faisait valoir qu’aucun internaute ne

s’était plaint d’une utilisation malveillante de ses données suite à

cette fuite” …



Tu parles, si quelqu’un parmi leurs clients  a été victime d’une usurpation d’identité, il faudrait déjà qu’il fasse le rapprochement entre le fait d’avoir donné ce papier à l’agence en question et le fait qu’il aurait pu y avoir une fuite …



C’est un peu comme si demain un service de voirie disait : “Non, mais on ne va pas remettre une bouche d’égout qui manque, pour l’instant personne n’est tombé dans le trou” …



Du très grand n’importe quoi … <img data-src=" />


Pourquoi “que” 400 000 euros ?

Ce n’est “pas si grave” selon la CNIL ? Qu’est-ce qui justifiera une sanction de 4% du CA mondial, du coup ? Il faut qu’il y ai les données personnelles des membres de la CNIL ?








pierreonthenet a écrit :



Pourquoi “que” 400 000 euros ?

Ce n’est “pas si grave” selon la CNIL ? Qu’est-ce qui justifiera une sanction de 4% du CA mondial, du coup ?





Non, celles du président de la république <img data-src=" />









pierreonthenet a écrit :



Pourquoi “que” 400 000 euros ?

Ce n’est “pas si grave” selon la CNIL ? Qu’est-ce qui justifiera une sanction de 4% du CA mondial, du coup ? Il faut qu’il y ai les données personnelles des membres de la CNIL ?





C’est j’imagine supposé être suffisant pour faire peur aux autres et ainsi servir d’exemple.









pierreonthenet a écrit :



Pourquoi “que” 400 000 euros ?

Ce n’est “pas si grave” selon la CNIL ? Qu’est-ce qui justifiera une sanction de 4% du CA mondial, du coup ? Il faut qu’il y ai les données personnelles des membres de la CNIL ?







Parce que la CNIL est beaucoup trop tolérante… D’ailleurs, elle n’a longtemps pas eu de pouvoir de sanction alors elle travaillait dans la “bienveillance” quoi…









Juju251 a écrit :



J’apprécie beaucoup leur “justification” et notamment ce passage : “Au promoteur immobilier, qui faisait valoir qu’aucun internaute ne

s’était plaint d’une utilisation malveillante de ses données suite à

cette fuite” ….





<img data-src=" />

D’un autre côté c’est pas débile vu le nombre de plaintes que reçoit ce syndic pour d’autres trucs

des médiocres de chez médiocres



A ce niveau là, c’est pas une amende, c’est la tôle pour les dirigeants !




Cette décision, rendue publique, reste susceptible de recours devant le Conseil d’État.



Vivement qu’ils déposent ce recours.



Puis se prennent une amende deux fois plus élevée par le CE <img data-src=" />.


Tu rêves, déjà que pour de la corruption tu as aucune chance de faire de la tôle à moins d’avoir été pris genre 5 fois en 10 ans


C’est affligeant…



Déjà la presence d’une telle faille encore aujourd’hui, mais en plus 6 mois sans rien faire avant de corriger, il méritent clairement plus que 400k€ d’amende, surtout vue la légerté avec laquelle ils ont traité le sujet.








linkin623 a écrit :



A ce niveau là, c’est pas une amende, c’est la tôle pour les dirigeants !





Je suis totalement d’accord avec toi, plus qu’une amende de la personne morale, là on est typiquement dans des faits relevant du pénal et l’infraction existe permettant en outre de condamner le dirigeant et pas uniquement la Société.



Hélas du fait de la sanction de la CNIL les possibilités d’une sanction pénale sont hypothéquées sauf à violer non bis idem (avec cette réserve que la cedh semble revenir sur son interprétation très restrictive qui interdisait toute double sanction pour un même fait même si les intérêts protégés par les sanctions étaient différents)









crocodudule a écrit :



Je suis totalement d’accord avec toi, plus qu’une amende de la personne morale, là on est typiquement dans des faits relevant du pénal et l’infraction existe permettant en outre de condamner le dirigeant et pas uniquement la Société.



Hélas du fait de la sanction de la CNIL les possibilités d’une sanction pénale sont hypothéquées sauf à violer non bis idem (avec cette réserve que la cedh semble revenir sur son interprétation très restrictive qui interdisait toute double sanction pour un même fait même si les intérêts protégés par les sanctions étaient différents)





<img data-src=" /> Dans ce cas, la CNIL doit procéder aux investigations et transmettre le dossier à Justice. La première sanction, c’est le name&shame sur le site de la CNIL. La deuxième, c’est le procès public pour une telle incompétence.









linkin623 a écrit :



<img data-src=" /> Dans ce cas, la CNIL doit procéder aux investigations et transmettre le dossier à Justice. La première sanction, c’est le name&shame sur le site de la CNIL. La deuxième, c’est le procès public pour une telle incompétence.





C’est exactement ça, je trouve que la CNIL est légitime à sanctionner lorsqu’il y a une négligence ou des processus insuffisants et surtout lorsque sa compétence “européenne” lui permet d’agir là où un Tribunal national ne peut pas.



En l’inverse et lorsque l’importance de la faute permet d’aller au pénal et sous réserve qu’un Tribunal correctionnel soit compétent, elle devrait investiguer mais transmettre au parquet pour permettre les poursuites du dirigeant et pas uniquement de la personne morale (lorsque c’est elle qui a la qualité de responsable du traitement ce qui est généralement le cas).