colmater une fuite sécurisé les données de ses clients

La CNIL fait disparaître une importante fuite de données chez Optical-Center

La Commission Nationale Informatique et des Libertés, alertée par un Protocole d’Alerte ZATAZ, fait colmater une fuite que la société Optical Center, spécialiste des lunettes, n’avait pas vu !

Les fuites de données n’ont jamais été aussi nombreuses. Bizarrement, à lire la presse généraliste, elles ne touchent que les autres, les Américains, les Belges, … Cet été, rien que pour l’Hexagone, plusieurs dizaines de fuites de données ont pu être corrigées grâce aux Protocoles d’Alertes de ZATAZ, comme par exemple celle ayant touché les magasins Conforama ou encore Orange et SFR.

Dans quelques mois, en mai 2018 pour être plus exacte, les entreprises auront pour obligation de communiquer sur une fuite ou un piratage de données, une perte ou une lecture non autorisée d’informations concernant leurs utilisateurs clients. Bref, il vous reste encore 10 mois pour vous mettre dans les clous du RGPD, le nouveau Règlement Général de la Protection des Données. En attendant, la CNIL veille et n’a jamais cessé de veiller sur nous, les internautes, clients de boutiques, humain inscrit dans des bases de données. Pour preuve, les deux dernières communications de la grande dame concernant OuiCar et un avertissement public et Hertz, et une première condamnation pécuniaire de 40.000€. Deux avertissements de la CNIL lancées après deux protocoles d’alerte de ZATAZ.

En cette fin août, je peux confirmer la correction d’une fuite d’information de clients de la société optical-center. Ici aussi, un Protocole d’alerte ZATAZ. Mon âge me fait porter des lunettes. Bilan, je fais appel à cette entreprise spécialisée. Sur la toile, un espace dédié au client et l’accès aux commandes/factures. Des documents sous forme de page web ou de PDF accessible via une adresse Internet dédiée. Vous commencez à percevoir le problème. L’url était de type www.optical-center.fr/blablabla/id=92829. Il suffisait de changer le chiffre après id= pour accéder aux informations privées et sensibles des autres clients. Heureusement, aucune donnée bancaire, mais tout le reste : Nom, prénom, adresse, date de naissance, numéro de sécurité sociale, données médicales (corrections, …). Plus de 350.000 factures étaient accessibles avant l’intervention de la CNIL. Il n’était pas utile d’être client et d’avoir un compte pour lire les  données. L’url d’une facture suffisait !

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. SebC Reply

    Une faille dans un site web n’est pas une fuite de donnée. Peut-on appeler un chat un chat et éviter de faire du sensationnalisme là où il n’y en a pas ?
    (même si cette faille traduit parfaitement le niveau de sécurité du site et la négligence d’Optical-Center en tant que propriétaire et celle de son sous-traitant : on parle quand même du numéro 4 du top 10 owasp).

    • Damien Bancal Reply

      Bonjour,
      Une faille ne donne pas, effectivement, toujours accès à des données. Mais ne soyons pas dupe, la majorité des failles exploitées de nos jours ont pour mission, pour les malveillants, de mettre la main sur des informations qui pourront être revendues, exploitées, …

  2. Floppy Disk Reply

    Pour répondre à SebC qui préfère édulcorer la réalité. 10 mois après le scoop de zataz, la CNIL a condamné cette entreprise pour une « avoir insuffisamment sécurisé les données de ses clients effectuant une commande en ligne à partir de son site internet. » https://www.cnil.fr/fr/optical-center-sanction-de-250000eu-pour-une-atteinte-la-securite-des-donnees-des-clients-du-site

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.