CONTACT

Sanction de Dailymotion pour atteinte à la sécurité des données

21 septembre 2018 | Derriennic Associés |

La CNIL a, une fois de plus, par une décision du 24 juillet 2018 prononcée à l’encontre de Dailymotion, condamné un responsable du traitement pour violation de l’article 34 de la loi du 6 janvier 1978, qui impose de préserver la sécurité des données à caractère personnel.

Après avoir eu vent d’un article publié le 6 décembre 2016 sur le site web www.zdnet.com, faisant état d’une fuite de plusieurs millions de données relatives à des adresses électroniques et des mots de passes d’utilisateurs de Dailymotion, la CNIL a procédé à un contrôle dans les locaux de cette société le 15 décembre 2016.

La société a révélé lors de ce contrôle que la violation de données concernait 82,5 millions d’adresses et 18,3 millions de mots de passe extraits de la base de données de la société, depuis une adresse IP située aux Etats-Unis. Dailymotion a affirmé avoir informé ses utilisateurs de cette violation et renforcé ses mesures de sécurité, suite à celle-ci.

Devant la formation restreinte, pour se défendre, Dailymotion a invoqué le caractère particulièrement sophistiqué de l’attaque, qui a nécessité :

  • l’identification d’un bug au sein des lignes de code de la plateforme ;
  • la compréhension de l’architecture de la plateforme permettant d’identifier les conditions à l’exploitation du bug ;
  • le développement d’un code à même de tirer profit du bug ;
  • la capacité de détourner un compte d’administration pour exploiter le bug ;
  • la propagation de l’intrusion depuis les serveurs web vers des données tout en masquant son identité réelle par un jeu de rebonds vers des serveurs loués spécifiquement à cette fin.

Selon elle, aucun manquement ne lui est imputable, d’autant plus que l’obligation de préservation de la sécurité des données, visée à l’article 34 de la loi du 6 janvier 1978, constitue une obligation de moyen, et non de résultat.

La CNIL va pourtant relever des manquements :

  • D’une part, la présence en clair, au sein du code sources, des identifiants du compte administrateur ayant servi lors de l’attaque. Il était nécessaire, selon la CNIL, de hasher ce mot de passe ou bien de le stocker sur son réseau interne et de l’injecter dans le code source uniquement lors des phases de test.
  • D’autre part, il convenait de sécuriser les connexions émanant de collaborateurs amenés à se connecter sur le réseau de l’entreprise, que ce soit par un système de filtrage des adresses IP ou via un réseau privé virtuel (VPN).

La CNIL reconnait que la réussite de l’attaque résulte de la conjonction de plusieurs facteurs, dont certains ne sont pas imputables à la société.

Dailymotion soulève également que le texte de l’article 34 de la loi du 6 janvier 1978 est insuffisamment précis et ne satisfait pas au principe de légalité de délits et des peines.

La CNIL rétorque que le législateur a confié au responsable du traitement le choix des mesures de sécurité à mettre en place pour respecter l’obligation tiré de l’article 34 et que le texte n’est pas prescriptif quant aux mesures à mettre en place dès lors que l’obligation est, in fine, respectée.

La CNIL a finalement condamné Dailymotion à  une sanction pécuniaire d’un montant de cinquante mille euros et a également prononcé la publication de sa décision.

Cette décision s’inscrit dans la lignée des autres décisions récemment rendues par la CNIL, qui concernaient quasi systématiquement des atteintes à la sécurité.