CNIL : 180 000 euros d’amende pour un assureur ayant laissé fuiter des milliers de justificatifs

CNIL : 180 000 euros d’amende pour un assureur ayant laissé fuiter des milliers de justificatifs

En espérant que l'entreprise était bien assurée

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

25/07/2019 9 minutes
18

CNIL : 180 000 euros d’amende pour un assureur ayant laissé fuiter des milliers de justificatifs

La CNIL vient d’infliger une amende administrative de 180 000 euros à Active Assurances, pour manquement à son obligation de sécuriser les données de ses clients. Pendant plusieurs années, un défaut de conception de son site Internet a rendu accessibles des centaines de milliers de documents personnels.

Des cartes grises, des permis de conduire, des RIB, des attestations d’assurance... Voilà le type de documents auxquels ont pu librement accéder les agents de la CNIL, lors d’un contrôle en ligne réalisé en juin 2018.

Quelques jours plus tôt, l’autorité administrative indépendante avait été alertée par l’un des clients d’Active Assurance, qui s’était aperçu qu’il était possible de récupérer les données d’autres clients, depuis le site de l’assureur, sans que le moindre mot de passe ne lui soit demandé.

En tout, ce sont plusieurs centaines de milliers de documents qui s’avèrent exposés, du fait d’un défaut de sécurité affectant le site web de la société... depuis 2014.

Méconnaissance de « mesures élémentaires » de sécurité

Lors de son contrôle en ligne du 28 juin, la délégation de la CNIL a constaté qu’une requête au sein du moteur de recherche Duckduckgo « faisait apparaître des liens hypertextes permettant d’accéder librement à certains comptes de clients de la société, sans authentification préalable » (ceci à partir des mots clés « client.activeassurances.fr » et « site:client.activeassurances.fr »).

En cliquant sur ces liens, les agents de la CNIL ont pu accéder à des comptes de clients, « comportant notamment leur nom, prénom, adresse postale, adresse électronique, numéro de téléphone ». Il leur fut également possible de « télécharger plusieurs documents PDF concernant des personnes, tels que des pièces d’identité, des devis, des attestations d’assurance automobile ou encore des contrats d’assurance ».

Autre problème : en modifiant un simple numéro apparaissant à la fin d’une des adresses URL affichées dans les résultats proposés par Duckduckgo, il était là encore possible d’accéder à des comptes personnels de clients.

Avertie par téléphone, la société, qui emploie environ 160 salariés (dont 150 situés dans une succursale à Madagascar), a pris des mesures dans les 24 heures pour colmater la fuite. Active Assurance a ainsi modifié le code source de son site web, et notamment « le paramétrage des documents stockés sur le service Microsoft Azure, celui-ci étant, avant l’alerte de la CNIL, configuré de telle sorte que les fichiers étaient accessibles publiquement depuis l’Internet », raconte la gardienne des données personnelles.

Seul hic, l’autorité indépendante constate, le 12 juillet, lors d’un contrôle effectué dans les locaux de l’assureur, qu’en cliquant sur le bouton « en cache » affiché à côté des adresses URL référencées par Yahoo, Bing et Qwant, il est « encore possible d’accéder à des pages contenant des données personnelles des clients ».

Les agents de la CNIL tiquent au passage sur autre chose : « les mots de passe de connexion des clients à leur espace personnel (...) correspondaient à leur date de naissance ». Une pratique d’autant plus embêtante qu'elle était imposée par Active Assurances.

Un défaut de conception remontant à 2014

Au regard de tout ces éléments, la CNIL a décidé d’ouvrir une procédure de sanction à l’encontre d’Active Assurance, sans mise en demeure préalable. Pour la gardienne des données personnelles, rien de tout ceci ne serait arrivé si la société avait pris des « mesures élémentaires de sécurité » lors du développement de son site web, en 2014.

Quand bien même l’assureur a fait valoir auprès de la commission qu’il avait rapidement déployé des « mesures efficaces » pour résoudre le défaut de sécurité dont était affecté son site, la CNIL a considéré, au travers d’une délibération rendue publique jeudi 25 juillet, que l’entreprise avait manqué à son obligation d’assurer la sécurité et la confidentialité des données collectées auprès de ses clients.

Il est d’ailleurs apparu au fil de la procédure qu’un client avait tenté d’alerter Active Assurances en mai 2018, « en vain ». L’autorité indépendante en a conclu que la société n’avait « placé la sécurité des données de ses clients au cœur de ses préoccupations qu’après l’intervention [de ses] services ».

Sur le fond, la CNIL insiste sur le fait que « la violation de données à caractère personnel résultant de ce défaut de sécurité aurait pu être évitée si, par exemple, la société avait mis en œuvre une mesure d’authentification et une gestion des droits d’accès permettant de s’assurer que chaque utilisateur souhaitant accéder à un document était habilité à le consulter ». Et ce d’autant plus que cela « ne nécessitai[t] pas de développements techniques importants ».

Aux yeux de la CNIL, le défaut de sécurité a même été « amplifié par le fait que les documents des personnes, librement accessibles depuis le site web de la société, ont été indexés par (...) Duckduckgo, Bing, Qwant et Yahoo ». Là aussi, il est reproché à Active Assurances ne pas avoir tout simplement utilisé de fichier robots.txt, afin d’éviter un référencement par les moteurs de recherche.

La gardienne des données personnelles a tout autant balayé l’argument, mis en avant par Active Assurances, selon lequel l’identification du défaut de sécurité nécessitait des « compétences techniques informatiques particulières » :

« Cette simple modification du numéro apparaissant dans l’adresse URL est à la portée de tout utilisateur d’un navigateur dès lors que cette adresse apparaît dans le navigateur de tout client de la société se connectant à son compte, affirme la CNIL. La même manipulation pouvait également être effectuée par toute personne qui, à partir d’une recherche effectuée au sein des moteurs de recherche Duckduckgo, Bing, Qwant et Yahoo, voyait affichées dans son navigateur les adresses URL renvoyant vers les comptes des clients de la société. »

Une telle manipulation ne nécessitait « aucune compétence technique particulière », martèle la CNIL, soulignant notamment que la vérification des paramètres URL fait « partie de tous les audits de sécurité web, dans la mesure où il s’agit d’une attaque connue depuis longtemps par la profession des développeurs web ».

L’institution se montre d’autant plus agacée qu’elle a infligé de nombreuses amendes ces derniers mois pour différents défauts de sécurité...

Plusieurs milliers de personnes concernées par cette fuite

Pour la CNIL, l’assureur aurait dû être d’autant plus vigilant que les données et justificatifs qu’il hébergeait via son site web étaient susceptibles de révéler des informations particulièrement précises sur les individus concernés. « Il était ainsi possible d’avoir accès à l’historique des clients en matière d’assurance automobile et de savoir ainsi si une personne avait fait l’objet d’une résiliation ou d’une annulation de contrat pour fausse déclaration ou pour non-paiement d’une prime, ou encore si elle avait fait l’objet d’un retrait de permis ou commis un délit de fuite ou un refus d’obtempérer », explique l’institution.

« De telles données, considérées comment étant des données particulières, doivent faire l’objet de la part des responsables de traitement d’une vigilance et d’une protection renforcées, ce qui n’a pas été le cas en l’espèce », tacle la CNIL.

L’ampleur de la faille a d’ailleurs de quoi donner le tournis. « Les données personnelles et pièces justificatives relatives à tous les contrats conclus par la société, résiliés ou non, étaient librement accessibles en raison du défaut de sécurité constaté », explique la gardienne des données personnelles.

La faille a ainsi exposé 148 359 numéros de téléphone, 144 057 adresses mail, 144 890 copies de carte grise, 137 776 copies de permis de conduire, 119 940 relevés d’identité bancaire, 119 517 devis ou encore 36 068 copies de déclarations de cession d’un véhicule.

Un manque évident de robutesse des mots de passe

De manière plus accessoire, Active Assurance a été épinglé pour ses pratiques en termes de mots de passe. « Le formulaire de connexion des clients à leur espace personnel indiquait expressément le format des mots de passe de connexion, à savoir la date de naissance des personnes, ce qui facilitait considérablement une attaque par force brute, ce d’autant que le format des mots de passe était indiqué sur le formulaire de connexion au compte client », regrette la CNIL.

Un manque évident de « robustesse » aux yeux de la gardienne des données personnelles, quand bien même cela visait à simplifier la vie des assurés, comme l’a fait valoir Active Assurances.

La CNIL a tout autant dénoncé l’envoi de ces mots de passe par mail, en clair, aux clients, après leur création de compte. « Une telle procédure ne permet pas d’assurer la sécurité des données, dès lors que l’envoi d’un courriel non chiffré peut conduire à son interception par toute personne écoutant le réseau et à la prise de connaissance des informations qu’il contient », tonne l’autorité, qui cite également les cas dans lesquels un tiers serait d’une manière plus générale « susceptible d’accéder à la messagerie électronique de la personne concernée ».

Là encore, Active Assurance a selon l’institution « méconnu une mesure de sécurité élémentaire ».

Une sanction « proportionnée » à la gravité des manquements

Au regard de la gravité de ces manquements, le rapporteur plaidait pour une amende de 375 000 euros. La formation restreinte de la CNIL a finalement estimé qu’une sanction de 180 000 euros était « justifiée et proportionnée ».

Si le collège de l’institution a pris en compte la réaction rapide d’Active Assurances et sa coopération, a surtout retenu que « plusieurs milliers » de personnes avaient été concernées par ce défaut de sécurité, « dû à une conception défectueuse » du site web de la société, et qui a « perduré pendant plusieurs années ».

18

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Méconnaissance de « mesures élémentaires » de sécurité

Un défaut de conception remontant à 2014

Plusieurs milliers de personnes concernées par cette fuite

Un manque évident de robutesse des mots de passe

Une sanction « proportionnée » à la gravité des manquements

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (18)


Est-ce que les clients touchés par la faille pêuvent se retourner contre cette société ? Ou le non bis in idem entre en jeu ici ?


ça fait presque sourire tellement c’est ridicule…si “les bidasses font un site web” doit exister un jour, le scénario est prêt :)





Amende réduite alors que les données étaient indexées par les moteurs de recherche depuis 2014 !!!


Chiffre d’affaire 2017 : 10 753 700 €



Effectivement, si on extrapole, CA de 50M€ sur la période de la faille. 180 000 € ça ne va pas les mettre en danger…


“développement de son site web, en 2014”

Ah, ok, il était possible de développer ainsi en 2014, tout va bien.

 

 “La formation restreinte de la CNIL a finalement estimé qu’une sanction de 180 000 euros était « justifiée et proportionnée ».”

<img data-src=" /> Ça ressemble surtout à une mauvaise blague.


C’est clair que ce n’est pas avec ce genre d’amende que les entreprises vont investir dans la sécurisation des données personnelles. Elles vont faire un calcul simple : probabilité de se faire contrôler x montant de l’amende = “c’est bon Roger, on fait le minimum, on prend le risque”.

Typiquement ce que fait la boîte où je travail sur ce genre de question.


Tiens, là la cnil considère qu’un envois par mail n’est pas assez sécurisé. Quand je me suis plaint de ce type de problème il y a un mois, la réponse était inverse. Mais dans mon cas c’est une régie publique qui est en cause. Y aurait-il deux poids deux mesures à la CNIL?


La correction de ces failles a dû coûter quoi ? 1000 balles ? 2000 balles ?

Le coût de sécurisation est négligeable ici. La faute revient également aux développeurs de ce site. Ce n’est pas normal de sortir un produit avec ce genre faille. Aucun vrai professionnel ne produirait ça


Faut voir ce que tu mets derrière le terme “professionel”… Si tu entends par là “personne dont c’est la profession”, je crains qu’il n’y en ait beaucoup.



J’ai récemment souligné un petit problème sur un site web : les documents “privés” (accessibles “uniquement avec mot de passe”) qui étaient accessible publiquement (… tous stockés dans un répertoire avec directory listing activé). Personne n’a considéré ça comme un soucis, ceci dit, ils y ont remédié (j’ai eu un mail indiquant que ça avait été corrigé). Pour un autre site, avant de commencer, j’ai demandé s’ils comptaient reproduire ce genre de soucis, mon interlocuteur du moment a alors répondu qu’il n’y avait jamais eu de tel problème <img data-src=" />



En général, tant qu’une URL est considérée comme “suffisament compliquée”, peu nombreux sont ceux qui s’ennuient à faire un contrôle d’accès. Ben oui, ça prend du temps, des ressources… Après si quelqu’un égare un lien vers le document, tant pis pour lui.


En même temps avec 160 salariés dont 150 dans un centre de service à Madagascar, vu le ratio on peut pas attendre une grande qualité.


Quand je dis “professionnel”, je veux dire “Professionnel” : comme dans le film Léon (de Luc Besson), le mec qui fini le boulot quoi ! <img data-src=" />


Ou tu n’es pas 144000 personnes.


Vu le peu de moyens de la CNIL, est-ce que ça vaut vraiment le coup de perdre du temps à calculer un montant de 375000 € (environ 3€ par compte concerné par la fuite), puis de perdre du temps à en débattre en formation restreinte ? Ça irait plus vite de juste faire les gros yeux, ce qui permettrait de traiter plus de dossiers.


Pas compris… Faire les gros yeux ?


Oui je connais l’expression…, je voulais dire dans le contexte… Je ne sais pas si c’est ironique ?


Le CA seul ne suffit pas pour dire que c’est une paille ou non. Vu qu’il englobe les dépenses et les revenus de l’entreprise, si ses dépenses sont supérieures aux revenus, une amende peut faire mal.

Rien que les 10 employés en France peuvent représenter une part non négligeable du chiffre d’affaire via la masse salariale. 10 employés au SMIC c’est à peu près le montant de l’amende en termes de charges en fait.



Même si les assurances ne sont pas spécifiquement marquées par la crise, ça reste une donnée incomplète.


Je n’ai jamais dit le contraire.



Mais avec 150 salariés malgaches sur 160, ils ne doivent pas avoir des millions de dépenses sur salaire… A la fin du mois, il doit leur rester un bon bénéfice.