CNIL : Bouygues Telecom écope d'une amende de 250 000 euros

250 000 euros
Bouygues Telecom devra payer une amende de 250 000 euros.

Bouygues Telecom s’est vu infliger une sanction pécuniaire par la Commission nationale de l'informatique et des libertés (CNIL) pour ne pas avoir suffisamment protégé les données personnelles de ses clients B&You.

Bouygues Telecom : l’accès aux fichiers sensibles n’était pas protégé par un mot de passe

Récupérer des noms, prénoms, dates de naissance, mails, adresses postales ou encore des numéros de téléphone, tout pirate informatique en rêve. Et l’opérateur Bouygues Telecom leur en a donné, malgré lui, une parfaite occasion. Comme le révélait le site Zataz.com en mars 2018, il était en effet possible de récupérer des informations de milliers de clients rien qu’en récupérant dans l’espace personnel B&You l’URL qui mène au document PDF avec les informations relatives au contrat, et en changeant les chiffres dans le nom du fichier.

Alertée par Zataz, la CNIL a donc mené une enquêté et a confirmé la réalité de la faille. Comme l'explique la Commission sur son site Internet, Bouygues Telecom prévoyait de conditionner l’accès à ce fichier PDF à une identification préalable sur l’espace client, de façon à ce que chaque client puisse visualiser uniquement les informations qui le concernent personnellement. Mais cette identification obligatoire n’a jamais été mise en place.

Faille Bouygues Telecom : l’ampleur des dégâts ne saura jamais connue

On ne saura jamais si ces informations personnelles ont été effectivement récupérées par des tiers. En tout cas, des fichiers clients librement accessibles sur Internet en modifiant l’un des chiffres constituent une proie rêvée pour les pirates informatiques. En effet, il est possible d’écrire rapidement et d’exécuter un code qui essaiera toutes les combinaisons possibles de chiffres dans un diapason donné et téléchargera les fichiers correspondants.

Pour motiver le faible montant de l’amende infligée à Bouygues Telecom, la CNIL précise avoir « tenu compte de la grande réactivité de l’opérateur dans la résolution de l’incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences ».