Sécurité IT : DHL rappelé à l’ordre par la CNIL

Cloud
DHL

Le transporteur écope d’un avertissement public pour avoir laissé traîner plus de 680 000 fiches clients accessibles librement sur Internet en raison d’une faille dans une application.

La Commission nationale de l’informatique et des libertés (CNIL) met un carton jaune à DHL. Le transporteur écope d’un avertissement public pour avoir laissé traîner plus de 680 000 fiches clients en libre accès sur Internet.

Référencées dans le moteur de recherche Google, les fiches en question renfermaient l’identité, les adresses e-mail, les numéros de téléphone  et les coordonnées postales de 680 000 personnes ayant demandé une seconde livraison pour un colis qu’elles n’avaient pas pu recevoir. On y trouvait également des informations relatives à la sécurisation des accès aux logements des clients concernés… ou encore à leur santé.

La CNIL a pris note de cette faille lors d’un contrôle réalisé le 19 février 2013. Neuf jours plus tard, la filiale de Deutsche Post annonçait avoir « pris des mesures correctives ». Une réactivité qui ne lui a pas épargné le courroux de la CNIL. La Commission a effectivement constaté plusieurs manquements graves dans cette affaire.

En premier lieu, DHL était averti depuis fin 2011 d’une vulnérabilité affectant les accès internes à l’application de relivraison. Le logisticien n’a pas pour autant mené de « démarche de vérification de sécurité de l’ensemble de l’application, [ce] qui lui aurait permis d’isoler la fuite de données« . Il n’a, par conséquent, pas non plus découvert la faille affectant les accès public via Internet.

Autre grief : une durée de conservation des données « non adaptée à la finalité de […] traitement ». Certaines des fiches clients indexées par Google dataient en l’occurrence de 2007. DHL affirme avoir régularisé ces différents écueils en limitant notamment l’archivage des données à un mois.

Pour sa défense, le transporteur explique que l’application affectée a été conçue pour un sous-traitant il y a plusieurs années. Quant à l’absence de sécurisation au niveau de l’adresse IP, elle résulterait « d’un défaut de conception du design de l’application ». Mais le contexte importe peu pour la CNIL, qui considère que DHL « demeurait responsable du traitement, quand bien même l’origine de la faille serait due à un défaut dans la conception de l’application ».

La société n’a pas réagi publiquement à cette mise en cause. Comme le note Silicon.fr, elle n’a pas non plus précisé les mesures prises pour avertir les clients concernés, ni les éventuels accès aux données par des tiers.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les grands groupes français du Web ?

Crédit photo : Christian Mueller – Shutterstock.com

Lire aussi :