France : La CNIL inflige 250 000 euros d’amende à Bouygues Télécom pour un défaut de sécurité

France : La CNIL inflige 250 000 euros d’amende à Bouygues Télécom pour un défaut de sécurité

La Commission Nationale française Informatique et Liberté (CNIL) a infligé hier jeudi, une amende de 250.000 euros à l’opérateur français Bouygues Télécom pour avoir insuffisamment protégé les données de 2 millions de consommateurs de sa marque B&You.

Une enquête de l’autorité de protection des données a montré que les contrats et factures de deux millions de clients de la marque B&You étaient très facilement accessibles, rendant leurs informations personnelles vulnérables au piratage.

Le défaut de sécurité trouvait son origine dans l’oubli de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins de ces tests. Cela rendait accessibles plusieurs centaines de milliers de contrats et factures, simplement en modifiant une adresse URL, sans mot de passe ou identifiant.

Ces contrats et factures comportent le nom, prénom, adresse mail, adresse postale, date de naissance, caractéristique de la ligne téléphonique, numéro de téléphone, relevé d’identité ou encore détails de la consommation.

Sur le marché noir, ces données peuvent être revendus pour des campagnes d’hameçonnage à des arnaques et servir à de l’usurpation d’identité, du ciblage publicitaire douteux, sans compter les risques liés à la vie privée de cibles telles que des juges, des inspecteurs, des journalistes ou encore des célébrités, qui souhaitent que leur adresse reste confidentielle.

La CNIL avait été saisie en mars dernier par le média spécialisé dans la cybersécurité Zataz, suite à la découverte de cette faille de sécurité qui a duré pendant plus de deux ans.  L’amende a été relativement peu élevée car ces faits s’étant entièrement déroulés avant l’entrée en application du règlement européen sur la protection des données personnelles (RGPD).

Bouygues Telecom a rapidement corrigé la vulnérabilité une fois informé et affirme avoir constaté, au terme de vérifications, que ces données ne circulaient pas et estime que l’incident de sécurité est clos depuis neuf mois.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.