La Cnil ne chôme pas ces derniers temps et enchaîne les sanctions pécuniaires. Cette fois ci, c’est Dailymotion – plateforme hexagonale d’hébergement de contenus vidéos – qui écope d’une amende de 50 000 € pour avoir insuffisamment sécuriser les données de ses utilisateurs en 2016.
Dailymotion reconnaît la fuite de données
Tout est parti d’un article de presse en décembre 2016, qui faisait état d’une importante fuite de données relative à la plateforme Dailymotion. Un contrôle a été réalisé au sein des locaux de la société. Celle-ci a indiqué à la Cnil que la violation de données résultait d’une attaque menée en plusieurs étapes et concernait 82,5 millions d’adresses emails ainsi que 18,3 millions de mots de passe chiffrés.
Dailymotion a reconnu que les attaquants sont parvenus à accéder aux identifiants d’un compte administrateur de la base de données de la société, stockés en clair sur la plateforme collaborative de développement « Github », désormais propriété de la société Microsoft.
Les attaquants ont ensuite exploité une vulnérabilité trouvée dans le code de la plateforme DailyMotion sur « GitHub ». Cette vulnérabilité leur a permis d’utiliser le compte administrateur pour accéder à distance à la base de données de la société et extraire les données personnelles des utilisateurs.
50 000 € d’amende
Devant son manquement à la protection des données personnelles, Dailymotion doit payer une amende de 50 000 €. La Cnil reconnaît que l’attaque subie par Dailymotion était sophistiquée, mais elle estime que cette attaque n’aurait pas pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place. Dans sa décision, la Cnil tient compte du fait que seuls des adresses électroniques et des mots de passe chiffrés ont été extraits.
Elle souligne en outre que Dailymotion n’aurait pas dû stocker en clair au sein de son code source des identifiants relatifs à un compte administrateur. De plus, puisque des personnes extérieures à la société étaient amenées à se connecter à distance au réseau informatique interne, Dailymotion aurait dû encadrer ces connexions par un système de filtrages des adresses IP ou un réseau privé virtuel (VPN).