La CNIL vient de prononcer une sanction pécuniaire d’un montant de 250 000 euros à Bouygues Telecom pour ne pas avoir sécurisé les données personnelles des utilisateurs de son site. Au total, ce sont près de 2 millions de clients qui seraient potentiellement touchés par cette faille de sécurité.
L’ancienne 4G Box
En raison d’un signalement émis en mars 2018, la Commission Nationale de l’Informatique et des Libertés (CNIL) s’est penchée sur le cas de Bouygues Telecom, et plus particulièrement sur le site web de l’opérateur. Après contrôle, il s’est avéré que le site en question disposait d’une faille de sécurité permettant d’accéder à des données personnelles de clients.
Un simple changement d’URL
La faille a été découverte sur la page permettant d’afficher le contrat d’un client. L’URL « https://www.bouyguestelecom.fr/archived/index/printcontract/archived_id/X », où X représente un nombre entier, permettait ainsi de passer de contrat en contrat en changeant simplement la variable X. Au total, ce sont 2 176 236 clients dont les données étaient ainsi accessibles. Bouygues Telecom précise qu’il ne s’agit que des clients B&You, et que les clients Bouygues Telecom et clients pro ne sont pas impactés par ce manque de sécurité.
Cette vulnérabilité provient de la fusion des marques Bouygues Telecom et B&You, en 2015. Une base spécifique aux anciens clients B&You avait alors été conservée pour permettre à ces clients d’accéder à leurs contrats et factures. C’est cette base qui a été corrompue.
Afin de pratiquer des tests lors de la fusion des bases de données, la vérification de l’authentification avait été désactivée dans le code de la page et n’a pas été réactivée lors de la mise en ligne définitive. Un correctif a rapidement été mis en place et l’URL mentionnée plus tôt renvoie désormais un message d’erreur en cas d’accès non authentifié.
250 000 euros de sanction
Après des procédures qui ont eu lieu jusqu’au 15 novembre dernier, considérant que Bouygues Telecom avait manqué à son obligation d’assurer la sécurité des données personnelles des utilisateurs de son site, la CNIL a donc prononcé une sanction pécuniaire de 250 000 euros à l’encontre de la société.
L’opérateur a deux mois pour déposer un recours devant le Conseil d’État. FrAndroid a contacté Bouygues Telecom pour savoir si telle était l’intention du groupe et attendons actuellement une réponse.
Dernière mise à jour en janvier 2019 L’ARCEP et l’ANFR publient régulièrement des données particulièrement intéressantes pour le consommateur en matière de couverture mobile et de qualité de service des réseaux mobiles. Les opérateurs publient également leurs propres chiffres de couvertures…
Lire la suite
Avec 0.125€ par client à 5 euros, pour une fois leur pièce de monnaie va servir à quelque chose MDRRR !
Je suis chez Bouygues et je reçois régulièrement des appels , personne au bout du fil , bien entendu je ne réponds plus , souvent du 09 , sûrement pour me faire consommer !
Avec 0.125€ par client bof
et les 250000 € il vont a qui , au client j'espere
Ils sont vachement sympa chez Bouygues puisqu'ils protégeraient mieux les clients Bouygues Telecom et clients pro alors que les clients B&You ils s'en tapent totalement... ^^
Non, ils vont à la CNIL, évidemment. Le seul bénéfice du client (si je puis dire), c'est que cette faille soit comblée. Cela dit, je ne pense pas que le montant soit suffisamment élevé pour que cet opérateur devienne véritablement sensible à la sécurité des données.
Ça fait 0.125 € par client ... en plus l'amende ne représente rien du tout pour Bouygues Télécom....