Au mois de mars, la Cnil (Commission nationale informatique et libertés) alertait Bouygues Telecom sur la présence d’une faille de sécurité sur le site web de B&You. Cette vulnérabilité, repérée à l’origine par la publication en ligne Zataz, a permis à des individus sans véritablement de bagages techniques importants de voler les données personnelles des 2 millions d’abonnés de l’opérateur… et ce, pendant deux ans. Dans le détail, il suffisait de simplement modifier l’adresse du site web pour obtenir les noms, prénoms, adresses e-mail et postale, numéros de téléphone, relevés d’identité et autres informations.
Ces données sont précieuses pour des pirates qui peuvent ainsi les exploiter dans le cadre de tentatives d’hameçonnage (phishing), d’usurpation d’identité, ou encore pour du ciblage publicitaire. Les bases de données qui contiennent ces informations se vendent très cher et une telle faille représente un véritable trésor pour des groupes mal intentionnés. Dès que Bouygues Telecom a été alerté par la Cnil, la faille de sécurité a été corrigée… mais elle est restée en place pendant deux ans.
Dans sa délibération, la Commission déplore le manquement de l’opérateur à son obligation d’assurer la sécurité et la confidentialité des données. C’est ce qui lui vaut cette sanction de 250 000 euros, qui aurait pu être plus lourde encore si la vulnérabilité avait été repérée après la mise en œuvre du règlement européen sur les données. La Cnil se réjouit en revanche de la rapidité avec laquelle Bouygues Telecom s’est chargé de la faille après en avoir été alerté.
Ces données sont précieuses pour des pirates qui peuvent ainsi les exploiter dans le cadre de tentatives d’hameçonnage (phishing), d’usurpation d’identité, ou encore pour du ciblage publicitaire. Les bases de données qui contiennent ces informations se vendent très cher et une telle faille représente un véritable trésor pour des groupes mal intentionnés. Dès que Bouygues Telecom a été alerté par la Cnil, la faille de sécurité a été corrigée… mais elle est restée en place pendant deux ans.
Dans sa délibération, la Commission déplore le manquement de l’opérateur à son obligation d’assurer la sécurité et la confidentialité des données. C’est ce qui lui vaut cette sanction de 250 000 euros, qui aurait pu être plus lourde encore si la vulnérabilité avait été repérée après la mise en œuvre du règlement européen sur les données. La Cnil se réjouit en revanche de la rapidité avec laquelle Bouygues Telecom s’est chargé de la faille après en avoir été alerté.