France
Pendant deux ans, et sans compétences techniques particulières, n’importe qui a pu accéder aux informations confidentielles des abonnés B&You, l’opérateur sans engagement de Bouygues Telecom. Il suffisait de modifier l’adresse de son site web pour obtenir le détail des contrats et des factures de 2 millions d’utilisateurs B&You : nom, prénom, adresses e-mail et postale, date de naissance, mais aussi numéro de téléphone, détails de la consommation, relevé d’identité…
Ces données, accessibles sans avoir le mot de passe du compte des abonnés, peuvent ensuite être exploitées dans des tentatives d’hameçonnage (phishing), d’usurpation d’identité, ou tout simplement pour recevoir de la publicité ciblée. C’est en mars que la Commission nationale informatique et liberté (Cnil) s’est emparé du dossier, suite à la découverte de la vulnérabilité par la publication Zataz. Ce qui a poussé Bouygues Telecom a faire le nécessaire pour réparer la faille de sécurité.
La Cnil a déterminé que cette vulnérabilité était présente depuis deux ans ; le régulateur estime que l’opérateur n’a pas fait preuve de suffisamment de vigilance. Par contre, la commission se réjouit de voir que Bouygues Telecom a rapidement redressé la barre une fois prévenu. Les données personnelles des utilisateurs de B&You ne sont plus librement accessibles. Malgré tout, la Cnil inflige une amende de 250 000 euros à l’entreprise, qui aurait pu être plus élevée si la faille avait été découverte après la mise en place du règlement européen sur la protection des données (RGPD).
Ces données, accessibles sans avoir le mot de passe du compte des abonnés, peuvent ensuite être exploitées dans des tentatives d’hameçonnage (phishing), d’usurpation d’identité, ou tout simplement pour recevoir de la publicité ciblée. C’est en mars que la Commission nationale informatique et liberté (Cnil) s’est emparé du dossier, suite à la découverte de la vulnérabilité par la publication Zataz. Ce qui a poussé Bouygues Telecom a faire le nécessaire pour réparer la faille de sécurité.
La Cnil a déterminé que cette vulnérabilité était présente depuis deux ans ; le régulateur estime que l’opérateur n’a pas fait preuve de suffisamment de vigilance. Par contre, la commission se réjouit de voir que Bouygues Telecom a rapidement redressé la barre une fois prévenu. Les données personnelles des utilisateurs de B&You ne sont plus librement accessibles. Malgré tout, la Cnil inflige une amende de 250 000 euros à l’entreprise, qui aurait pu être plus élevée si la faille avait été découverte après la mise en place du règlement européen sur la protection des données (RGPD).
