Orange se fait sonner les cloches par la CNIL

La CNIL adresse un avertissement Orange, suite au vol de données personnelles ayant affecté 1,3 million de clients de l’opérateur en avril dernier.

Dans la délibération de la commission restreinte de la Commission Nationale de l’Informatique et des Libertés, chargée d’examiner cette affaire, on apprend que le vol de données, constaté le 18 avril dernier, résultait « d’un dysfonctionnement du serveur du prestataire chargé de réaliser certaines campagnes de marketing direct ».

Les données concernées sont les noms, prénoms, dates de naissance, e-mails et numéros de téléphone fixe ou mobile des clients. Pas de quoi usurper l’identité d’un client auprès de sa banque, mais suffisant pour orchestrer de belles campagnes de phishing. Rappelons qu’au printemps dernier, Orange avait prévenu les clients concernés des risques encourus.

D’après la mission de contrôle de la CNIL, la faille –béante – a été découverte par un client. « Le lien de désinscription figurant sur un courriel de prospection permettait, par une modification de l’adresse URL, d’accéder à un serveur du prestataire secondaire (le sous-traitant du sous-traitant, NDLR) contenant 700 fichiers relatifs aux clients et prospects de la société Orange ».

Bref, sur le serveur, c’était (presque) open bar ! Les fichiers en question ont été aspirés les 4 et 5 mars derniers depuis une adresse IP non identifiée, constate la CNIL.

La Commission nationale relève par ailleurs que l’application déficiente, mise en production en novembre 2013, avait été lancée sans audit de sécurité et qu’Orange envoyait les mises à jour de ses fichiers de clients ou prospects par mail, sans mesure de sécurité particulière. De plus, si l’opérateur avait bien encadré contractuellement les aspects relatifs à la sécurité avec son sous-traitant principal, il a « oublié » de veiller à ce que ces obligations s’étendent aux prestataires secondaires, souligne Silicon.fr.

Bref, un inventaire à la Prévert de toutes les bourdes les plus basiques en matière de sécurité. Maître de l’understatement, la CNIL préfère parler de mesures de sécurité « insuffisantes » et de « défaillances », dans le compte-rendu de ses délibérations. La Commission remarque que l’opérateur n’a même pas l’excuse de l’insuffisance de ses ressources financières et humaines pour expliquer pareil bricolage.

Pour sa défense, la société a argué qu’elle avait rempli ses obligations de notification en matière de violation de données « alors même qu’un doute existerait quant à son application en matière d’opérations marketing ».

Et « soutient que la faille de sécurité serait liée aux risques inhérents à une chaîne de sous-traitance ». Des arguments bien faiblards, même si l’opérateur affirme avoir depuis changé de prestataire secondaire et travailler à une nouvelle plate-forme technique mieux sécurisée.

L’opérateur a décidément du mal à tenir la promesse que son dirigeant Stéphane Richard avait faite en novembre dernier en s’engageant, signature d’une charte à l’appui, à protéger les données de ses clients. Déjà victime de deux piratages depuis le début de l’année, Orange a tenté à chaque fois de minimiser la portée de ces affaires.

Le couac d’Orange rappelle celui de DHL, qui avait là aussi pour origine une application périphérique confiée à un prestataire. Le logisticien avait aussi eu droit à un blâme public de la CNIL.

Silicon.fr a sollicité un entretien avec Orange pour avoir ses explications sur cette affaire et comprendre quelles mesures il met concrètement en œuvre pour respecter les engagements pris par son patron en novembre 2013.

Quizz ITespresso.fr : Que savez-vous de la CNIL ?

Crédit image : Christophe Lagane – Silicon.fr