Délibération de la CNIL n°SAN-2018-008 du 24 juillet 2018
La société Dailymotion a subi une attaque particulièrement sophistiquée et complexe ayant abouti à une fuite de plusieurs millions de données personnelles relatives à ses utilisateurs. Bien que la CNIL a reconnu que cette attaque était complexe, elle a néanmoins sanctionné Dailymotion qui aurait pu éviter une telle fuite en mettant en place des mesures de sécurité élémentaires.
1. La société Dailymotion a subi une fuite de plusieurs millions de données relatives à des adresses électroniques et des mots de passe de ses utilisateurs. Un article publié sur le site web WWW.ZDNET.COM a rendu publique cette information le 5 décembre 2016.
2. Une délégation de la CNIL a alors procédé à une mission de contrôle au sein des locaux de la société. A cette occasion, Dailymotion a indiqué à la CNIL qu’elle avait été alertée de l’existence de la violation de donnés par un courrier électronique adressé à son Directeur général délégué le 5 décembre 2016 et que la violation de données avait concerné 82,5 millions d’adresses de comptes ainsi que 18,3 millions de mots de passe chiffrés extraits de sa base de données.
3. Dailymotion a précisé à la Commission qu’elle avait identifié cette violation de données le 6 décembre 2016 à la suite de sa révélation par le site web WWW.ZDNET.COM et que « l’attaque est due à l’exécution d’une requête SQL de type SELECT ; que cette requête a été exécutée sur les tables user et user_passwords ; que les données ont été récupérées sur une machine ayant une IP située sur le territoire américain ». Elle a également indiqué qu’aucune alerte ne lui avait été remontée car le volume de données concernées par la violation était faible au regard des capacités de la bande passante.
4. En réaction à la violation de données, Dailymotion a indiqué avoir mis en place plusieurs mesures renforçant la sécurité de son système d’information mais a reconnu qu’elle n’avait pas mis en place de politique de mots de passe complexes pour des « raisons de marketing » et qu’en dehors des cas où une demande de suppression de compte est formulée par un utilisateur, la durée de conservation des données des utilisateurs n’était pas limitée.
5. Dans le cadre de ses investigations, la CNIL s’est rendu compte que contrairement à ce qui lui avait été indiqué, l’incident de sécurité ne serait pas le résultat d’une injection SQL. Dès lors, la CNIL a diligenté des investigations complémentaires. Dans ce cadre, un questionnaire relatif à la violation de données a été soumis à Dailymotion. Les représentants de la société ont ensuite été auditionnés dans les locaux de la CNIL le 15 février 2018.
6. Au cours des investigations complémentaires, il a été révélé que l’incident de sécurité résultait « d’une attaque en plusieurs étapes, menée par des délinquants informatiques chevronnés, au terme d’une démarche coordonnée sur plusieurs mois et vraisemblablement par plusieurs personnes ». Il a également été précisé que cette attaque était le résultat de la combinaison des six facteurs suivants :
- un accès frauduleux au code source de la société ;
- l’identification d’un bug exploitable de manière malveillante au sein des centaines de milliers de lignes de code de la plateforme Dailymotion ;
- le développement d’une compréhension de l’architecture de la plateforme permettant d’identifier les conditions nécessaires et suffisantes à l’exploitation malveillante du bug ;
- le développement d’un code d’exploitation spécifique à même de déclencher et de tirer profit du bug ;
- la capacité de détourner un compte d’administration pour exploiter le bug identifié ;
- la propagation de l’intrusion depuis les serveurs web vers des données tout en masquant son identité réelle par un jeu de rebonds vers des serveurs loués spécifiquement à ces fins.
7. L’article 34 de la loi du 6 janvier 1978 modifiée dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». La formation restreinte de la CNIL considère que cet article 34 précité met à la charge du responsable de traitement de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel contenues dans son système d’information et en particulier celles concernant les utilisateurs de sa plateforme web, notamment afin que ces données ne soient pas accessibles à des tiers non autorisés.
8. En matière d’authentification, la CNIL estime qu’il est important de veiller à ce qu’un mot de passe permettant de s’authentifier sur un système ne puisse pas être divulgué. Ainsi, il est primordial que celui-ci ne soit stocké que dans un fichier protégé. Dans la mesure où il était impossible pour Dailymotion de conserver le mot de passe dans le code source sous une forme hashée, il lui revenait de chercher une autre solution afin de ne pas le rendre accessible, par exemple, en le stockant au sein de son réseau interne et en s’assurant qu’il était injecté en temps réel dans le code source, uniquement lors des phases de test puis supprimé une fois le test achevé.
9. S’agissant de l’absence de mesure de limitation des accès externes à l’administration du système d’information, la CNIL considère que lorsque des collaborateurs sont amenés à se connecter à distance au réseau informatique interne d’une entreprise, la sécurisation de cette connexion constitue une précaution élémentaire afin de préserver l’intégrité dudit réseau. La formation restreinte propose ainsi comme exemple la mise en place d’une mesure de filtrage des adresses IP afin que seules soient exécutées des requêtes provenant d’adresses IP identifiées et autorisées ou par l’utilisation d’un VPN.
10. Bien que la CNIL reconnaît que l’attaque contre Dailymotion n’a abouti qu’en raison de la conjonction de plusieurs facteurs dont certains ne lui sont pas imputables, la formation restreinte considère toutefois que si au moins l’une des deux mesures détaillées ci-dessus avait été prise par Dailymotion, l’attaque n’aurait jamais réussie. Dès lors, le manquement à l’article 34 de la loi du 6 janvier 1978 modifiée est constitué puisque Dailymotion n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées.
11. Cela étant, la formation restreinte de la CNIL reconnaît que l’attaque subie par Dailymotion peut être qualifiée de sophistiquée. Elle retient par ailleurs que le nombre réduit de catégories de données extraites, à savoir, des adresses de messagerie électronique et des mots de passe chiffrés, est de nature à diminuer le risque d’atteinte à la vie privée des personnes concernées. Considérant également que Dailymotion a fait preuve de coopération avec les services de la CNIL, la formation restreinte a prononcé une sanction d’un montant faible, en l’occurrence un montant de 50.000 (cinquante mille) euros.
A rapprocher : article 34 de la loi informatique et libertés