La CNIL fait disparaître une importante fuite de données chez Optical-Center
La Commission Nationale Informatique et des Libertés, alertée par un Protocole d’Alerte ZATAZ, fait colmater une fuite que la société Optical Center, spécialiste des lunettes, n’avait pas vu !
Les fuites de données n’ont jamais été aussi nombreuses. Bizarrement, à lire la presse généraliste, elles ne touchent que les autres, les Américains, les Belges, … Cet été, rien que pour l’Hexagone, plusieurs dizaines de fuites de données ont pu être corrigées grâce aux Protocoles d’Alertes de ZATAZ, comme par exemple celle ayant touché les magasins Conforama ou encore Orange et SFR.
Dans quelques mois, en mai 2018 pour être plus exacte, les entreprises auront pour obligation de communiquer sur une fuite ou un piratage de données, une perte ou une lecture non autorisée d’informations concernant leurs utilisateurs clients. Bref, il vous reste encore 10 mois pour vous mettre dans les clous du RGPD, le nouveau Règlement Général de la Protection des Données. En attendant, la CNIL veille et n’a jamais cessé de veiller sur nous, les internautes, clients de boutiques, humain inscrit dans des bases de données. Pour preuve, les deux dernières communications de la grande dame concernant OuiCar et un avertissement public et Hertz, et une première condamnation pécuniaire de 40.000€. Deux avertissements de la CNIL lancées après deux protocoles d’alerte de ZATAZ.
En cette fin août, je peux confirmer la correction d’une fuite d’information de clients de la société optical-center. Ici aussi, un Protocole d’alerte ZATAZ. Mon âge me fait porter des lunettes. Bilan, je fais appel à cette entreprise spécialisée. Sur la toile, un espace dédié au client et l’accès aux commandes/factures. Des documents sous forme de page web ou de PDF accessible via une adresse Internet dédiée. Vous commencez à percevoir le problème. L’url était de type www.optical-center.fr/blablabla/id=92829. Il suffisait de changer le chiffre après id= pour accéder aux informations privées et sensibles des autres clients. Heureusement, aucune donnée bancaire, mais tout le reste : Nom, prénom, adresse, date de naissance, numéro de sécurité sociale, données médicales (corrections, …). Plus de 350.000 factures étaient accessibles avant l’intervention de la CNIL. Il n’était pas utile d’être client et d’avoir un compte pour lire les données. L’url d’une facture suffisait !
Une faille dans un site web n’est pas une fuite de donnée. Peut-on appeler un chat un chat et éviter de faire du sensationnalisme là où il n’y en a pas ?
(même si cette faille traduit parfaitement le niveau de sécurité du site et la négligence d’Optical-Center en tant que propriétaire et celle de son sous-traitant : on parle quand même du numéro 4 du top 10 owasp).
Bonjour,
Une faille ne donne pas, effectivement, toujours accès à des données. Mais ne soyons pas dupe, la majorité des failles exploitées de nos jours ont pour mission, pour les malveillants, de mettre la main sur des informations qui pourront être revendues, exploitées, …
Pour répondre à SebC qui préfère édulcorer la réalité. 10 mois après le scoop de zataz, la CNIL a condamné cette entreprise pour une « avoir insuffisamment sécurisé les données de ses clients effectuant une commande en ligne à partir de son site internet. » https://www.cnil.fr/fr/optical-center-sanction-de-250000eu-pour-une-atteinte-la-securite-des-donnees-des-clients-du-site