Nom, prénom, date de naissance, adresse mail, adresse physique, numéro de téléphone mobile… les données de 2 millions d’abonnés B&You ont été exposées potentiellement durant deux ans et trois mois sur le site web de Bouygues Telecom. Un défaut de sécurité qui vaut aujourd’hui à l’opérateur mobile de se voir infliger une sanction de 250 000 euros par la CNIL.
Il suffisait de modifier une adresse URL
La Commission révèle avoir été informée en mars 2018 d’un incident de sécurité par une tierce personne. Lors d’un contrôle ultérieur, elle a constaté qu’il était possible d’accéder aux contrats et factures des clients en modifiant simplement une adresse URL. « Le défaut de sécurité trouvait son origine dans l’oubli de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins de ces tests » , détaille la CNIL dans son communiqué de presse.
Si Bouygues Telecom a rapidement corrigé la vulnérabilité, il a manqué à son obligation de protéger les données personnelles de ses utilisateurs. « Il appartenait à la société d’être particulièrement vigilante quant à l’effectivité de son mécanisme d’authentification, compte tenu de son choix de ne pas mettre en place de mesure de sécurité complémentaire », souligne enfin la Commission.
Les faits sont considérés comme graves, au regard du nombre de personnes concernées et de la durée de ce défaut de sécurité. Aucun préjudice ne serait toutefois à déplorer, selon la CNIL : cela signifie que les données n’auraient pas été dérobées.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.