La Commission nationale de l’informatique et des libertés (CNIL) met un carton jaune à DHL. Le transporteur écope d’un avertissement public pour avoir laissé traîner plus de 680 000 fiches clients en libre accès sur Internet.
Référencées dans le moteur de recherche Google, les fiches en question renfermaient l’identité, les adresses e-mail, les numéros de téléphone et les coordonnées postales de 680 000 personnes ayant demandé une seconde livraison pour un colis qu’elles n’avaient pas pu recevoir. On y trouvait également des informations relatives à la sécurisation des accès aux logements des clients concernés… ou encore à leur santé.
La CNIL a pris note de cette faille lors d’un contrôle réalisé le 19 février 2013. Neuf jours plus tard, la filiale de Deutsche Post annonçait avoir « pris des mesures correctives ». Une réactivité qui ne lui a pas épargné le courroux de la CNIL. La Commission a effectivement constaté plusieurs manquements graves dans cette affaire.
En premier lieu, DHL était averti depuis fin 2011 d’une vulnérabilité affectant les accès internes à l’application de relivraison. Le logisticien n’a pas pour autant mené de « démarche de vérification de sécurité de l’ensemble de l’application, [ce] qui lui aurait permis d’isoler la fuite de données« . Il n’a, par conséquent, pas non plus découvert la faille affectant les accès public via Internet.
Autre grief : une durée de conservation des données « non adaptée à la finalité de […] traitement ». Certaines des fiches clients indexées par Google dataient en l’occurrence de 2007. DHL affirme avoir régularisé ces différents écueils en limitant notamment l’archivage des données à un mois.
Pour sa défense, le transporteur explique que l’application affectée a été conçue pour un sous-traitant il y a plusieurs années. Quant à l’absence de sécurisation au niveau de l’adresse IP, elle résulterait « d’un défaut de conception du design de l’application ». Mais le contexte importe peu pour la CNIL, qui considère que DHL « demeurait responsable du traitement, quand bien même l’origine de la faille serait due à un défaut dans la conception de l’application ».
La société n’a pas réagi publiquement à cette mise en cause. Comme le note Silicon.fr, elle n’a pas non plus précisé les mesures prises pour avertir les clients concernés, ni les éventuels accès aux données par des tiers.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les grands groupes français du Web ?
Crédit photo : Christian Mueller – Shutterstock.com
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…