webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Fuite de plusieurs millions de données personnelles : Dailymotion sanctionnée par la CNIL

Délibération de la CNIL n°SAN-2018-008 du 24 juillet 2018

La société Dailymotion a subi une attaque particulièrement sophistiquée et complexe ayant abouti à une fuite de plusieurs millions de données personnelles relatives à ses utilisateurs. Bien que la CNIL a reconnu que cette attaque était complexe, elle a néanmoins sanctionné Dailymotion qui aurait pu éviter une telle fuite en mettant en place des mesures de sécurité élémentaires.



1. La société Dailymotion a subi une fuite de plusieurs millions de données relatives à des adresses électroniques et des mots de passe de ses utilisateurs. Un article publié sur le site web WWW.ZDNET.COM a rendu publique cette information le 5 décembre 2016. 

2. Une délégation de la CNIL a alors procédé à une mission de contrôle au sein des locaux de la société. A cette occasion, Dailymotion a indiqué à la CNIL qu’elle avait été alertée de l’existence de la violation de donnés par un courrier électronique adressé à son Directeur général délégué le 5 décembre 2016 et que la violation de données avait concerné 82,5 millions d’adresses de comptes ainsi que 18,3 millions de mots de passe chiffrés extraits de sa base de données.

3. Dailymotion a précisé à la Commission qu’elle avait identifié cette violation de données le 6 décembre 2016 à la suite de sa révélation par le site web WWW.ZDNET.COM et que « l’attaque est due à l’exécution d’une requête SQL de type SELECT ; que cette requête a été exécutée sur les tables user et user_passwords ; que les données ont été récupérées sur une machine ayant une IP située sur le territoire américain ». Elle a également indiqué qu’aucune alerte ne lui avait été remontée car le volume de données concernées par la violation était faible au regard des capacités de la bande passante.

4. En réaction à la violation de données, Dailymotion a indiqué avoir mis en place plusieurs mesures renforçant la sécurité de son système d’information mais a reconnu qu’elle n’avait pas mis en place de politique de mots de passe complexes pour des « raisons de marketing » et qu’en dehors des cas où une demande de suppression de compte est formulée par un utilisateur, la durée de conservation des données des utilisateurs n’était pas limitée. 

5. Dans le cadre de ses investigations, la CNIL s’est rendu compte que contrairement à ce qui lui avait été indiqué, l’incident de sécurité ne serait pas le résultat d’une injection SQL. Dès lors, la CNIL a diligenté des investigations complémentaires. Dans ce cadre, un questionnaire relatif à la violation de données a été soumis à Dailymotion. Les représentants de la société ont ensuite été auditionnés dans les locaux de la CNIL le 15 février 2018.

6. Au cours des investigations complémentaires, il a été révélé que l’incident de sécurité résultait « d’une attaque en plusieurs étapes, menée par des délinquants informatiques chevronnés, au terme d’une démarche coordonnée sur plusieurs mois et vraisemblablement par plusieurs personnes ». Il a également été précisé que cette attaque était le résultat de la combinaison des six facteurs suivants :

  • un accès frauduleux au code source de la société ;
  • l’identification d’un bug exploitable de manière malveillante au sein des centaines de milliers de lignes de code de la plateforme Dailymotion ;
  • le développement d’une compréhension de l’architecture de la plateforme permettant d’identifier les conditions nécessaires et suffisantes à l’exploitation malveillante du bug ;
  • le développement d’un code d’exploitation spécifique à même de déclencher et de tirer profit du bug ;
  • la capacité de détourner un compte d’administration pour exploiter le bug identifié ;
  • la propagation de l’intrusion depuis les serveurs web vers des données tout en masquant son identité réelle par un jeu de rebonds vers des serveurs loués spécifiquement à ces fins.

7.  L’article 34 de la loi du 6 janvier 1978 modifiée dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès »La formation restreinte de la CNIL considère que cet article 34 précité met à la charge du responsable de traitement de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel contenues dans son système d’information et en particulier celles concernant les utilisateurs de sa plateforme web, notamment afin que ces données ne soient pas accessibles à des tiers non autorisés.

8. En matière d’authentification, la CNIL estime qu’il est important de veiller à ce qu’un mot de passe permettant de s’authentifier sur un système ne puisse pas être divulgué. Ainsi, il est primordial que celui-ci ne soit stocké que dans un fichier protégé. Dans la mesure où il était impossible pour Dailymotion de conserver le mot de passe dans le code source sous une forme hashée, il lui revenait de chercher une autre solution afin de ne pas le rendre accessible, par exemple, en le stockant au sein de son réseau interne et en s’assurant qu’il était injecté en temps réel dans le code source, uniquement lors des phases de test puis supprimé une fois le test achevé.

9. S’agissant de l’absence de mesure de limitation des accès externes à l’administration du système d’information, la CNIL considère que lorsque des collaborateurs sont amenés à se connecter à distance au réseau informatique interne d’une entreprise, la sécurisation de cette connexion constitue une précaution élémentaire afin de préserver l’intégrité dudit réseau. La formation restreinte propose ainsi comme exemple la mise en place d’une mesure de filtrage des adresses IP afin que seules soient exécutées des requêtes provenant d’adresses IP identifiées et autorisées ou par l’utilisation d’un VPN.

10. Bien que la CNIL reconnaît que l’attaque contre Dailymotion n’a abouti qu’en raison de la conjonction de plusieurs facteurs dont certains ne lui sont pas imputables, la formation restreinte considère toutefois que si au moins l’une des deux mesures détaillées ci-dessus avait été prise par Dailymotion, l’attaque n’aurait jamais réussie. Dès lors, le manquement à l’article 34 de la loi du 6 janvier 1978 modifiée est constitué puisque Dailymotion n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées.

11. Cela étant, la formation restreinte de la CNIL reconnaît que l’attaque subie par Dailymotion peut être qualifiée de sophistiquée. Elle retient par ailleurs que le nombre réduit de catégories de données extraites, à savoir, des adresses de messagerie électronique et des mots de passe chiffrés, est de nature à diminuer le risque d’atteinte à la vie privée des personnes concernées. Considérant également que Dailymotion a fait preuve de coopération avec les services de la CNIL, la formation restreinte a prononcé une sanction d’un montant faible, en l’occurrence un montant de 50.000 (cinquante mille) euros.

A rapprocher : article 34 de la loi informatique et libertés

VOIR AUSSI

Le droit des sociétés plus fort que la protection des données personnelles ?

CJUE, 9 mars 2017, affaire n°C 398/15

- Vu : 218

L’accessibilité perpétuelle aux données relatives aux personnes physiques figurant sur le registre des sociétés susceptible, en tant que telle, de limiter la portée du droit à l’oubli, est justifiée par des intérêts collectifs et légitimes supérieurs aux intérêts individuels.

> Lire la suite

Du nouveau pour l'action de groupe en matière de données à caractère personnel

Loi n°2016–1547 du 18 novembre 2016

- Vu : 289

La loi de modernisation de la justice du XXIème siècle introduit en droit français l’action de groupe en matière de données à caractère personnel. Limitée exclusivement à la cessation du manquement constaté, cette action de groupe ne permet pas aux personnes concernées d’obtenir la réparation de leur préjudice.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 3094
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 2661
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 2595
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Protéger ses marques efficacement - 15 mai 2018 - Nantes
16 avril 2018 - Vu : 1502
SIMON ASSOCIÉS organise un petit-déjeuner sur le thème de la protection des marques le 15 mai 2018 à ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©