webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation en vidéo Notre approche Nos départements Nos avocats Nos publications Nos distinctions Nous contacter Agenda / évènements Nos événements Autres événements Photothèque / Vidéothèque Ouvrages de référence Lexique Newsletters Rechercher Nos sites internet Distribution Concurrence consommation Immobilier IT / IP Corporate Restructuring International Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre des réseaux
L'actualité juridique et économique des réseaux de distribution par Simon Associés
simon associés simon associés
Accueil >IT / IP
 

Fuite de plusieurs millions de données personnelles : Dailymotion sanctionnée par la CNIL

Délibération de la CNIL n°SAN-2018-008 du 24 juillet 2018

La société Dailymotion a subi une attaque particulièrement sophistiquée et complexe ayant abouti à une fuite de plusieurs millions de données personnelles relatives à ses utilisateurs. Bien que la CNIL a reconnu que cette attaque était complexe, elle a néanmoins sanctionné Dailymotion qui aurait pu éviter une telle fuite en mettant en place des mesures de sécurité élémentaires.



1. La société Dailymotion a subi une fuite de plusieurs millions de données relatives à des adresses électroniques et des mots de passe de ses utilisateurs. Un article publié sur le site web WWW.ZDNET.COM a rendu publique cette information le 5 décembre 2016. 

2. Une délégation de la CNIL a alors procédé à une mission de contrôle au sein des locaux de la société. A cette occasion, Dailymotion a indiqué à la CNIL qu’elle avait été alertée de l’existence de la violation de donnés par un courrier électronique adressé à son Directeur général délégué le 5 décembre 2016 et que la violation de données avait concerné 82,5 millions d’adresses de comptes ainsi que 18,3 millions de mots de passe chiffrés extraits de sa base de données.

3. Dailymotion a précisé à la Commission qu’elle avait identifié cette violation de données le 6 décembre 2016 à la suite de sa révélation par le site web WWW.ZDNET.COM et que « l’attaque est due à l’exécution d’une requête SQL de type SELECT ; que cette requête a été exécutée sur les tables user et user_passwords ; que les données ont été récupérées sur une machine ayant une IP située sur le territoire américain ». Elle a également indiqué qu’aucune alerte ne lui avait été remontée car le volume de données concernées par la violation était faible au regard des capacités de la bande passante.

4. En réaction à la violation de données, Dailymotion a indiqué avoir mis en place plusieurs mesures renforçant la sécurité de son système d’information mais a reconnu qu’elle n’avait pas mis en place de politique de mots de passe complexes pour des « raisons de marketing » et qu’en dehors des cas où une demande de suppression de compte est formulée par un utilisateur, la durée de conservation des données des utilisateurs n’était pas limitée. 

5. Dans le cadre de ses investigations, la CNIL s’est rendu compte que contrairement à ce qui lui avait été indiqué, l’incident de sécurité ne serait pas le résultat d’une injection SQL. Dès lors, la CNIL a diligenté des investigations complémentaires. Dans ce cadre, un questionnaire relatif à la violation de données a été soumis à Dailymotion. Les représentants de la société ont ensuite été auditionnés dans les locaux de la CNIL le 15 février 2018.

6. Au cours des investigations complémentaires, il a été révélé que l’incident de sécurité résultait « d’une attaque en plusieurs étapes, menée par des délinquants informatiques chevronnés, au terme d’une démarche coordonnée sur plusieurs mois et vraisemblablement par plusieurs personnes ». Il a également été précisé que cette attaque était le résultat de la combinaison des six facteurs suivants :

  • un accès frauduleux au code source de la société ;
  • l’identification d’un bug exploitable de manière malveillante au sein des centaines de milliers de lignes de code de la plateforme Dailymotion ;
  • le développement d’une compréhension de l’architecture de la plateforme permettant d’identifier les conditions nécessaires et suffisantes à l’exploitation malveillante du bug ;
  • le développement d’un code d’exploitation spécifique à même de déclencher et de tirer profit du bug ;
  • la capacité de détourner un compte d’administration pour exploiter le bug identifié ;
  • la propagation de l’intrusion depuis les serveurs web vers des données tout en masquant son identité réelle par un jeu de rebonds vers des serveurs loués spécifiquement à ces fins.

7.  L’article 34 de la loi du 6 janvier 1978 modifiée dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». La formation restreinte de la CNIL considère que cet article 34 précité met à la charge du responsable de traitement de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel contenues dans son système d’information et en particulier celles concernant les utilisateurs de sa plateforme web, notamment afin que ces données ne soient pas accessibles à des tiers non autorisés.

8. En matière d’authentification, la CNIL estime qu’il est important de veiller à ce qu’un mot de passe permettant de s’authentifier sur un système ne puisse pas être divulgué. Ainsi, il est primordial que celui-ci ne soit stocké que dans un fichier protégé. Dans la mesure où il était impossible pour Dailymotion de conserver le mot de passe dans le code source sous une forme hashée, il lui revenait de chercher une autre solution afin de ne pas le rendre accessible, par exemple, en le stockant au sein de son réseau interne et en s’assurant qu’il était injecté en temps réel dans le code source, uniquement lors des phases de test puis supprimé une fois le test achevé.

9. S’agissant de l’absence de mesure de limitation des accès externes à l’administration du système d’information, la CNIL considère que lorsque des collaborateurs sont amenés à se connecter à distance au réseau informatique interne d’une entreprise, la sécurisation de cette connexion constitue une précaution élémentaire afin de préserver l’intégrité dudit réseau. La formation restreinte propose ainsi comme exemple la mise en place d’une mesure de filtrage des adresses IP afin que seules soient exécutées des requêtes provenant d’adresses IP identifiées et autorisées ou par l’utilisation d’un VPN.

10. Bien que la CNIL reconnaît que l’attaque contre Dailymotion n’a abouti qu’en raison de la conjonction de plusieurs facteurs dont certains ne lui sont pas imputables, la formation restreinte considère toutefois que si au moins l’une des deux mesures détaillées ci-dessus avait été prise par Dailymotion, l’attaque n’aurait jamais réussie. Dès lors, le manquement à l’article 34 de la loi du 6 janvier 1978 modifiée est constitué puisque Dailymotion n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées.

11. Cela étant, la formation restreinte de la CNIL reconnaît que l’attaque subie par Dailymotion peut être qualifiée de sophistiquée. Elle retient par ailleurs que le nombre réduit de catégories de données extraites, à savoir, des adresses de messagerie électronique et des mots de passe chiffrés, est de nature à diminuer le risque d’atteinte à la vie privée des personnes concernées. Considérant également que Dailymotion a fait preuve de coopération avec les services de la CNIL, la formation restreinte a prononcé une sanction d’un montant faible, en l’occurrence un montant de 50.000 (cinquante mille) euros.

A rapprocher : article 34 de la loi informatique et libertés

VOIR AUSSI

Saisie douanière : preuve du caractère contrefaisant des marchandises

Cass. com., 7 mars 2018, n°16-24.851

- Vu : 465

Les infractions douanières peuvent être prouvées par tous moyens, en voici un rappel dans l’arrêt de la Chambre commerciale du 7 mars 2018.

> Lire la suite

Quand l’interprétation d’un accord de coexistence nécessite encore une interprétation

CA Angers, 2 juin 2015, RG n°15/01113

- Vu : 3491
Saisie d’une requête en interprétation, la Cour d’appel d’Angers apporte des précisions sur la lecture à retenir de sa décision qui, elle-même, avait pour objet d’interpréter un accord de coexistence. > Lire la suite


Les plus vus...
Rappels concernant l’obligation périodique de statuer sur une augmentation de capital réservée aux salariés
15 janvier 2013 - Vu : 71454
La collectivité des associés d’une société par actions doit, lorsque le rapport de gestion présenté à l’AGO annuelle indique ...
> Lire la suite
Le nouvel article 1231-5 du code civil relatif à la clause pénale
14 mai 2016 - Vu : 52131
Parmi les nombreuses dispositions qu'elle contient, la réforme du droit des contrats introduit un nouvel article 1231-5 au ...
> Lire la suite
MAPIC - 16-18 novembre 2016 - Cannes | Palais des Festivals
27 septembre 2016 - Vu : 37742
SIMON ASSOCIÉS sera présent au MAPIC du 16 au 18 novembre à Cannes. ...
> Lire la suite
Clauses de durée et poursuite des relations commerciales dans les contrats de distribution
1 décembre 2012 - Vu : 33170
La poursuite des relations commerciales dans les contrats de franchise, et plus généralement dans les contrats de distribution, ...
> Lire la suite
Copyright ©2016 La lettre des Réseaux | Création et réalisation Webcd©