colmater une fuite sécurisé les données de ses clients

Protocole ZATAZ : sanction de 250.000€ à optical-center.fr pour une atteinte à la sécurité des données de ses clients

Posted On 07 Juin 2018

Tag: cnil

La CNIL a prononcé une sanction de 250.000 euros à l’encontre de la société OPTICAL CENTER pour avoir insuffisamment sécurisé les données de ses clients effectuant une commande en ligne à partir de son site internet. Une alerte du Protocole ZATAZ !

En juillet 2017, ZATAZ informait la CNIL après la constatation d’une « fuite de données conséquentes » concernant la société OPTICAL CENTER. Je vous relatais cette fuite en août 2017 après la correction de cette fuite d’informations.

Un contrôle en ligne a permis aux équipes de la CNIL de constater qu’il était possible, en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, d’accéder à des centaines de factures de clients de la société. Ces factures contenaient des données telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées.

Alertée le même jour par la CNIL, la société s’est rapprochée de son prestataire pour qu’il prenne les mesures nécessaires afin de mettre fin à cet incident de sécurité.

Contrôle après l’alerte de ZATAZ

Mon âge me fait porter des lunettes. Bilan, je fais appel à cette entreprise spécialisée. Sur la toile, un espace dédié au client et l’accès aux commandes/factures. Des documents sous forme de page web ou de PDF accessible via une adresse Internet dédiée. Vous commencez à percevoir le problème. L’url était de type www.optical-center.fr/blablabla/id=92829. Il suffisait de changer le chiffre après id= pour accéder aux informations privées et sensibles des autres clients. Heureusement, aucune donnée bancaire, mais tout le reste : Nom, prénom, adresse, date de naissance, numéro de sécurité sociale, données médicales (corrections, …). Plus de 350.000 factures étaient accessibles avant l’intervention de la CNIL. Il n’était pas utile d’être client et d’avoir un compte pour lire les données. L’url d’une facture suffisait !

Un contrôle sur place dans les locaux de la société OPTICAL CENTER, durant lequel elle a reconnu que son site internet présentait bien un défaut de sécurité. En l’espèce, le site « www.optical-center.fr » n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société.

La Présidente de la CNIL désigne un rapporteur. Ce dernier engage une procédure de sanction à l’encontre de la société OPTICAL CENTER.

250.000 euros d’amende

La formation restreinte de la CNIL vient de prononcer une sanction pécuniaire d’un montant de 250.000 euros, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.

Tout en soulignant la réactivité de la société dans la résolution de la faille, la formation restreinte a considéré que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société. Elle a ainsi estimé que la mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle.

La formation restreinte a également découvert que la société n’était pas sans ignorer les risques liés à un défaut de sécurisation de son site dès lors qu’une sanction de 50 000 euros avait déjà été prononcée en raison d’un défaut de sécurité en 2015.

Compte tenu des données sensibles rendues librement accessibles. Du nombre de clients impactés et du volume de documents (plus de 334 000). Contenus dans la base de données de la société à la date de l’incident. La formation restreinte a décidé de rendre publique sa décision.

Pourquoi ZATAZ a alerté la CNIL, en juillet 2017 ? Le protocole ZATAZ, comme l’explique son mode d’emploi et cela depuis plus de 20 ans, contacte d’abord d’abord l’entreprise. Mails, tweets, … Si aucune réponse, afin de faire corriger (je rappelle que c’est bénévole, gratuite, …), la CNIL est dans la boucle.

ZATAZ a déjà permis à la CNIL de faire condamner Hertz, Darty, Le Party Socialiste pour un montant global, pour le moment, de plus de 350.000€ ! Mon petit doigt me dit que le prochain sera un grand groupe Français dédié au tourisme… et plus d’un million de clients concernés.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.