La CNIL sanctionne DAILYMOTION pour atteinte à la sécurité des données

Peu de temps après la sanction de OPTICAL CENTER à payer une amende de 250 000 euros pour une atteinte à la sécurité des données, c’est au tour de la plateforme d’hébergement de contenus vidéos Dailymotion d’être sanctionnée par la CNIL pour une atteinte à la sécurité des données de ses utilisateurs.

L’amende appliquée à DAILYMOTION fut de 50 000 euros. Moins lourde, elle reste révélatrice de la particulière vigilance à adopter quant à la sécurité des données à caractère personnel.

Les faits

Fin de l’année 2016, un article de presse révélait que Dailymotion était victime d’une importe fuite de données à caractère personnel, conduisant la CNIL a effectuer un contrôle de la plateforme.  

Dailymotion se défendait en évoquant un « problème de sécurité externe » et que les « mots de passe d’un certain nombre de comptes pourraient avoir été compromis » tout en précisant que « le hack semble être limité et ne concernait aucune donnée personnelle ».

Pourtant, il s’agissait d’une fuite de 82,5 millions d’adresses emails ainsi que 18,3 millions de mots de passe chiffrés ;représentant donc une fuite massive de données à caractère personnel qui permet aux hackers d’accéder aux comptes des utilisateurs et aux informations personnelles qui s’y trouvent.

La sanction

Cette sanction apparait cependant faible si nous la comparons à celle subie par OPTICAL CENTER. Quelle en est la raison ? La CNIL explique cette sanction en évoquant le contexte particulier des faits.

Tout d’abord, le fait que Dailymotion ait fait preuve de coopération dans le cadre de cette fuite, notamment en prenant immédiatement des mesures « afin d’atténuer les effets négatifs ». Quant aux données piratées à proprement dit, la CNIL précise dans sa décision que « les seules données à caractère personnel concernées sont des adresses de courriers électroniques dont une partie n’est pas identifiante car non associées à des personnes physiques mais à des comptes test ou à des noms de sociétés partenaires ».

La CNIL observe donc que ces éléments concourent « à diminuer le risque d’atteinte à la vie privée des personnes concernées ».

Nos recommandations

Une telle attaque subie, bien que sophistiquée comme le rappelle la CNIL en ce qui concerne Dailymotion, peut être évitée si les mesures en matière de sécurité sont mises en place en amont et respectées.

La CNIL précise en effet dans son communiqué que :

• la société n’aurait pas dû stocker en clair au sein de son code source des identifiants relatifs à un compte administrateur

Dans cette situation, la CNIL considère en effet qu’un mot de passe qui permet de s’authentifier sur un système ne doit pas être divulgué comme c’était le cas en l’espèce. Il est recommandé de limiter l’accès à un mot de passe, en particulier en évitant de le stocker dans un fichier non protégé.

A retenir pour l’authentification des utilisateurs :

• privilégier l’authentification forte
• ne pas stocker les mots de passe dans un fichier en clair
• limiter le nombre de tentatives d’accès
• prévoir un renouvellement du mot de passe selon une période pertinente et raisonnable
• stocker les mots de passe de façon sécurisée
• encadrer les connexions à distance au réseau informatique interne par un système de filtrage des adresses IP ou un réseau privé virtuel (VPN)

A retenir pour la protection de son réseau informatique interne :

• limiter les accès interne en bloquant les services non nécessaires
• gérer les réseaux Wi-Fi qui doivent utiliser un chiffrement à l’état de l’art (WPA2-PSK avec un mot de passe complexe) et les réseaux ouverts aux invités doivent être séparés du réseau interne
• prévoir un VPN pour l’accès à distance avec, si possible, une authentification forte de l’utilisation (exemple utilisez un générateur de mots de passe)
• s’assurer qu’aucune interface d’administration n’est accessible directement depuis internet
• limiter les flux réseaux au strict nécessaire

Les recommandations devant être mises en œuvre pour prévenir les atteintes à la sécurité des données sont consultables sur le guide de la sécurité des données à caractère personnel publié par la CNIL, faisant suite au renforcement des obligations des responsables de traitement avec l’application du Règlement général sur la protection des données (RGPD).

Claudia Weber, Avocat Fondateur & Eugénie Richard, Avocat