La Commission nationale de l’informatique et des libertés (CNIL) met un carton jaune à DHL. Le transporteur écope d’un avertissement public pour avoir laissé traîner plus de 680 000 fiches clients en libre accès sur Internet.
Référencées dans le moteur de recherche Google, les fiches en question renfermaient l’identité, les adresses e-mail, les numéros de téléphone et les coordonnées postales de 680 000 personnes ayant demandé une seconde livraison pour un colis qu’elles n’avaient pas pu recevoir. On y trouvait également des informations relatives à la sécurisation des accès aux logements des clients concernés… ou encore à leur santé.
La CNIL a pris note de cette faille lors d’un contrôle réalisé le 19 février 2013. Neuf jours plus tard, la filiale de Deutsche Post annonçait avoir « pris des mesures correctives ». Une réactivité qui ne lui a pas épargné le courroux de la CNIL. La Commission a effectivement constaté plusieurs manquements graves dans cette affaire.
En premier lieu, DHL était averti depuis fin 2011 d’une vulnérabilité affectant les accès internes à l’application de relivraison. Le logisticien n’a pas pour autant mené de « démarche de vérification de sécurité de l’ensemble de l’application, [ce] qui lui aurait permis d’isoler la fuite de données« . Il n’a, par conséquent, pas non plus découvert la faille affectant les accès public via Internet.
Autre grief : une durée de conservation des données « non adaptée à la finalité de […] traitement ». Certaines des fiches clients indexées par Google dataient en l’occurrence de 2007. DHL affirme avoir régularisé ces différents écueils en limitant notamment l’archivage des données à un mois.
Pour sa défense, le transporteur explique que l’application affectée a été conçue pour un sous-traitant il y a plusieurs années. Quant à l’absence de sécurisation au niveau de l’adresse IP, elle résulterait « d’un défaut de conception du design de l’application ». Mais le contexte importe peu pour la CNIL, qui considère que DHL « demeurait responsable du traitement, quand bien même l’origine de la faille serait due à un défaut dans la conception de l’application ».
La société n’a pas réagi publiquement à cette mise en cause. Comme le note Silicon.fr, elle n’a pas non plus précisé les mesures prises pour avertir les clients concernés, ni les éventuels accès aux données par des tiers.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les grands groupes français du Web ?
Crédit photo : Christian Mueller – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…