Category Archives: InfoSec

Quand le Cnous géolocalise ses étudiants et renseigne des sociétés publicitaires…

Posted on by

Après avoir laissé pourrir ses résidences étudiantes, ne pas avoir respecté la réglementation concernant l’amiante (à lire ici et ici), puis pour avoir mis en place des lits connectés à l’insu des étudiants, le CROUS était déjà fiché.

C’est maintenant au tour de l’organisation au dessus des CROUS : Le CNOUS (qui regroupe par conséquent tous les CROUS) de se faire tapper sur les doigts pour fliquer des centaines de milliers (millions ?) d’étudiants :

L’article est signé -par l’excellent- Martin Untersinger et est disponible sur le site du Monde à cette adresse :

Izly, l’appli du Cnous qui géolocalise des étudiants et renseigne des sociétés publicitaires

«Le Monde» a enquêté sur cette application qui permet à des centaines de milliers d’étudiants de payer leurs repas au restaurant universitaire.

Mise à jour le 21 octobre, à 15 h 30 : Suite à la parution de notre article, le Cnous a annoncé ce samedi que « pour qu’il n’y ait aucune ambiguïté ni inquiétude, la possibilité de diffusion des données de géolocalisation est supprimée du système Izly ».

Tous les jours, des centaines de milliers d’étudiants dégainent leur smartphone et l’application Izly pour payer leur « restau U ». Ce qu’ignorent nombre d’entre eux, c’est qu’à chaque utilisation de cette application, s’ils l’ont autorisée à les géolocaliser, leur position au mètre près est envoyée à deux sociétés de marketing, afin que des marques ou des magasins puissent leur proposer des messages publicitaires ciblés.

Quelles sont ces entreprises et que font-elles de ces données ? Pourquoi le Cnous (Centre national des œuvres universitaires et scolaires), établissement public, a-t-il décidé d’insérer dans une application qu’il fait utiliser à tous les étudiants un dispositif potentiellement très intrusif, dans lequel interviennent quatre sociétés privées ?

Nous avons mené l’enquête sur ce service utile aux étudiants, et en partie financé avec leurs données personnelles, sans qu’ils en soient pleinement conscients et informés, révélateur d’un certain écosystème numérique contemporain.

Tout commence sur l’ordinateur de Rémy Grünblatt. Après avoir assisté à une conférence à Paris peu avant l’été sur la sécurité des applications mobile, cet étudiant en informatique à l’Ecole normale supérieure de Lyon s’intéresse à Izly, application qu’il utilise quotidiennement.

Surpris de voir sa géolocalisation s’échapper de ce qui devrait être une simple solution de paiement, il y consacre un article sur son blog.

En l’absence de réaction, il décide de contacterLe Monde. Nous avons installé l’application afin d’intercepter et analyser toutes les communications de l’application sur Internet.

Nous avons ainsi pu confirmer l’existence de cette fonctionnalité dans Izly, sur Android comme sur iOS.

Rien qu’en lançant l’application, et sans même nous y connecter, cette dernière communique à une entreprise tierce nos coordonnées GPS précises, celles du siège du Monde, où nous nous trouvons. Les données bancaires, très sensibles, ne sont pas communiquées à cette entreprise.

En analysant les flux Internet sortant de l’application, nous avons confirmé que nos données GPS étaient transmises par l’application. Capture d’écran

Les coordonnées GPS correspondent parfaitement au siège du « Monde ».

Plusieurs sociétés privées intermédiaires

Ces données géographiques sont envoyées vers beaconforstore.com. Ce site appartient à Neerby, entreprise filiale de la société française Ezeeworld.

Se présentant comme une « plate-forme de retargeting physique », elle promet aux entreprises de cibler leurs clients potentiels « en analysant leurs habitudes et leurs trajets » en s’appuyant justement sur des données collectées par des applications tierces.

Neerby peut ainsi « connaître la fréquentation [du consommateur] (temps de présence, récurrence…) et ses lieux de vie (lieu d’habitation, de travail, loisirs…) », se vantait, au mois d’avril, le gérant d’Eezyworld, Patrick Chatanay, sur le site spécialisé Ecran Mobile. L’entreprise stocke-t-elle les données des centaines de milliers d’usagers de l’application Izly ?

Les utilise-t-elle pour les proposer à ses clients ? Le gérant d’Ezeeworld a refusé à plusieurs reprises de répondre à nos questions, insistant sur le fait que sa société n’était qu’un intermédiaire technique entre l’application Izly, utilisée par les Crous, et une troisième entreprise, Take & Buy.

Cette autre société est spécialisée dans la mise en place, dans des magasins, de « beacons », des émetteurs Bluetooth qui permettent d’envoyer un message promotionnel sur les appareils mobiles passant à proximité.

Au téléphone, son gérant, Jean-Philippe Allocio, confirme être client de S-money, la filiale de la banque Natixis qui réalise l’application Izly pour les Crous, et avoir passé un contrat avec Neerby pour récupérer les données.

Selon lui, les Crous et S-money cherchaient un moyen de proposer aux étudiants des services spécifiques et localisés, comme un mécanisme d’alerte en cas de surcharge du restaurant universitaire ou de la bibliothèque. Ils se sont donc tournés vers son entreprise et son parc de 20 000 émetteurs « beacons » installés dans toute la France.

« En échange, on leur a demandé de proposer un certain nombre d’opérations [publicitaires]. Ils l’ont accepté mais avec de gigantesques restrictions, qui éliminent quasiment tous les annonceurs : sur 103 opérations proposées, ils en ont accepté quatre », précise-t-il encore.

L’intrusion publicitaire est limitée, mais qu’arrive-t-il à ces données ? M. Allocio nie formellement les stocker et explique qu’aussitôt qu’elles parviennent à Take & Buy, celle-ci vérifie si une entreprise cliente désire envoyer un message publicitaire à l’utilisateur.

Si cette entreprise ne le désire pas, toujours selon M. Allocio, les données disparaissent. « Je ne vends pas de profils », assure M. Allocio, affirmant ne « jamais, jamais, jamais [sic] stocker l’ombre d’une information sur un utilisateur ».

« Aucune donnée n’est stockée par Ezeeworld », confirme Olivier Tilloy, directeur général adjoint de S-money, l’entreprise qui édite l’application Izly pour le Cnous, ajoutant qu’en ayant « un droit d’audit sur Take & Buy, [S-money] peut à tout moment vérifier qu’il respecte bien le traitement des données ».

Le trajet des données personnelles collectées via Izly.

Des notifications géographiquement ciblées

« Pour des annonceurs, c’est un frein si l’utilisateur a la désagréable sensation qu’on a analysé sa vie », se justifie encore M. Allocio. Ce dernier évoque l’existence d’un « agrément » de la Commission nationale de l’informatique et des libertés (CNIL).

Or cette dernière n’en délivre pas. Interrogé sur le sujet, M. Allocio a précisé avoir procédé à une déclaration auprès de l’organisme – de fait, une obligation légale élémentaire qui ne garantit pas la légalité du traitement.

Dans cette dernière, déposée en mars et que nous nous sommes procurée, Take & Buy ne dit collecter que l’identifiant publicitaire du téléphone, sans un mot sur les données de géolocalisation.

 

Dans sa demande d’avis au sujet d’Izly, déposée auprès de la CNIL, que nous avons également consultée, le Cnous ne mentionne pas non plus les données de géolocalisation.

Les données de géolocalisation sont en fait envoyées à une deuxième société, distincte d’Ezeeworld. Les coordonnées GPS des téléphones ayant activé la géolocalisation parviennent à la société Accengage, qui édite le service Ad4Push, une solution qui permet d’envoyer des notifications sur les smartphones. Les données géographiques sont-elles nécessaires ?

Oui, selon Olivier Tilloy, de S-money. Il doit être possible, explique-t-il, d’envoyer à l’étudiant des notifications géographiquement ciblées, spécifiques à sa région voire à son université, or l’application Izly est nationale. « L’actualité d’un étudiant n’est pas la même partout, on a besoin de contextualiser le message pour les étudiants », explique M. Tilloy.

« Tendre vers le zéro cash » dans les restaurants

Pour comprendre pourquoi ces deux sociétés reçoivent les données de géolocalisation des étudiants, il faut revenir à la genèse d’Izly. Depuis des années, et comme il l’a rappelé lors de la rentrée universitaire, le Cnous veut « tendre vers le “zéro cash” » dans ses restaurants universitaires afin de « sécuriser les transactions » et de « fluidifier le passage en caisse ».

Aujourd’hui, le Cnous essaie par tous les moyens de populariser cette solution auprès des étudiants. Des « ambassadeurs portant haut et fort les valeurs du dispositif » sont ainsi recherchés par le Crous d’Aix-Marseille-Avignon, des promotions « telles qu’un café offert, des pâtisseries à prix mini » sont proposées par le Crous de Grenoble, ou des places de cinéma sont offertes par le Crous de Toulouse.

Certains Crous, comme ceux de Grenoble ou de Paris, intègrent même le dispositif Izly dans une carte multiservice destinée, par exemple, à régler les photocopies ou à accéder à certains bâtiments.

En mars 2014, le Cnous se met à la recherche d’une solution dématérialisée pour remplacer le système Moneo, utilisé dans certains de ses centres mais jugé insatisfaisant.

Quatre mois plus tard, il noue pour six ans un contrat – fixé lors d’un l’appel d’offre à 3,5 millions d’euros – avec le groupe bancaire BPCE (Banques populaires et Caisses d’épargne), l’un des cinq plus grands établissements français.

Le groupe dispose d’une filiale, S-money, fondée en 2011 et spécialisée dans solutions de paiement mobile. C’est ainsi l’application de S-money qui sert de base technique à l’application d’Izly.

L’installation du système est financée intégralement par le Cnous. Dans un second temps, comme l’attestent les spécifications techniques du marché que nous avons obtenues, le fonctionnement quotidien est rémunéré par le prélèvement d’une fraction des flux financiers générés par le système mais également par le « recours au sponsoring et/ou publicité ».

« Nous voulons faire des choses intéressantes, tester l’apport de nouvelles technologies », avance Olivier Tilloy. « Mais pour l’instant, financièrement, il n’y a pas réellement d’intérêt, nous avons envoyé moins de 20 000 notifications.

Nous filtrons les demandes d’annonceur, car notre objectif c’est de générer plus d’usage autour d’Izly, et pas d’envoyer des messages sans intérêt pour les étudiants », explique-t-il encore.

Aucune mention de l’envoi des données

Dans les spécifications du marché, le Cnous a prévu d’encadrer au maximum ces « prestations supplémentaires » : elles doivent en effet « être en adéquation à l’éthique de l’institution », « dans une démarche mesurée » et « être mises en œuvre avec l’accord préalable et explicite de l’ayant droit à chaque fois que des données personnelles sont utilisées ».

Au Cnous, on fait ainsi remarquer que l’étudiant a donné son consentement pour activer la géolocalisation. Mais combien d’étudiants savaient-ils comment ces données étaient réellement utilisées et quelles étaient les entreprises qui les recevaient ?

Si, sur le site officiel, il est indiqué qu’« Izly s’engage (…) sur la protection de vos données personnelles et de votre confidentialité », il n’y est fait nulle mention de l’envoi de données de localisation à des sociétés publicitaires.

Il faut se pencher sur les quelques lignes d’une autre version des conditions d’utilisation du service, très loin d’être lues par la majorité des étudiants, pour savoir que les données personnelles de l’utilisateur sont recueillies par « S-money, le groupe BPCE, ainsi [que par] ses filiales directes et indirectes ou [par] ses partenaires commerciaux » et peuvent être utilisées pour de la « prospection et [de] l’animation commerciale ».

Toujours selon ces conditions, les utilisateurs de l’application peuvent s’opposer à ce que leurs données soient utilisées de la sorte. Il faut pour cela contacter directement S-money. Par courrier postal.

 

Izly, l’appli du Cnous qui géolocalise des étudiants et renseigne des sociétés publicitaires.

OuiCar pas foutu de protéger des données personnelles s’en prend à Zataz

Posted on by

Il y a trois jours, la CNIL addressait un avertissement à Ouicar concernant un manquement à l’obligation de sécurité et de confidentialité des données.

De nombreux médias ont réalisé des articles sur cette information : NextInpact : OuiCar.fr averti publiquement par la CNIL pour violation de données personnelles.

Numerama : Données personnelles : la Cnil sanctionne OuiCar et Hertz pour leurs failles de sécurité.

CIO-Online : La CNIL sanctionne OuiCar.

linformaticien.com : La Cnil épingle OuiCar.fr pour son utilisation des données personnelles.

Le Figaro : La Cnil épingle OuiCar pour violation des données personnelles de ses utilisateurs.

itespresso : OuiCar rappelé à l’ordre par la CNIL pour des données en accès libre.

L’histoire commence assez simplement : Zataz signale à la CNIL une brèche de données persos sur OuiCar.fr, dans la prose de la CNIL ça donne cela :

En juillet 2016, l’éditeur du site www.zataz.com a informé les services de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission) d’une violation de données à partir du site www.ouicar.fr . Il lui a ainsi transmis deux exemples d’URL (Uniform Resource Locator) permettant d’accéder à des données à caractère personnel.

Mais, au lieu de remercier Zataz (chose qui serait logique), l’avocat de OuiCar contre-attaque, un peu comme si ladite société demandait la carte du club de lanceurs d’alerte à Zataz :

« Elle affirme, par ailleurs, que la vérification de la violation de données par l’éditeur du site www.zataz.fr avait un caractère frauduleux dès lors que ce dernier ne bénéficie pas du statut protecteur des lanceurs d’alerte. »

Selon Marc Rees de NextInpact, ceci est la conséquence de la loi qui a autorisé ce dispositif, en effet, un amendement voulant organiser l’irresponsabilité pénale du déclarant a été rejeté.

Conclusion :

OuiCar, pas foutu de protéger des données personnelles de ses clients, s’en prend à Zataz, tant que le texte de loi sera un demi texte, ça se répétera, encore et encore.

La délibération de la CNIL est disponible sur le site de LegiFrance sous la référence SAN-2017-011 :

Délibération SAN-2017-011 du 20 juillet 2017

Commission Nationale de l’Informatique et des Libertés

Délibération n°SAN-2017-011 du 20 juillet 2017
Délibération de la formation restreinte n° SAN-2017-011 du 20 juillet 2017 prononçant un avertissement public à l’encontre de la société OUICAR
Etat: VIGUEUR

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Jean-François CARREZ, Président, de M. Alexandre LINDEN, Vice-président, Mme Dominique CASTERA, Mme Marie-Hélène MITJAVILE et M. Maurice RONAI, membres ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 45 et suivants ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés du 25 mars 2007 ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu les décisions n° 2016-226C et 2016-231C du 27 juillet 2016 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder, d’une part, à une mission de vérification de tous traitements relatifs au site OUICAR.FR et, d’autre part, à une mission de vérification auprès de la société OUICAR ;

Vu la décision de la Présidente de la Commission portant désignation d’un rapporteur devant la formation restreinte, en date du 20 avril 2017 ;

Vu le rapport de Monsieur François PELLEGRINI, commissaire rapporteur, notifié par lettre recommandée avec avis de réception à la société OUICAR le 11 mai 2017 ;

Vu la demande de huis clos de la société OUICAR du 23 mai 2017 à laquelle il n’a pas été fait droit par courrier du 6 juin 2017 ;

Vu les observations écrites de la société OUICAR reçues le 8 juin 2017, ainsi que les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier ;

Etaient présents, lors de la séance de la formation restreinte du 22 juin 2017 qui s’est tenue publiquement :

M. François PELLEGRINI, Commissaire, en son rapport ;

Maîtres X et Y, en qualité de conseils de la société OUICAR ;

M. Z, Directeur Technique de la société ;

M. W, Directeur Opérations et Finances de la société.

Mme Nacima BELKACEM, Commissaire du Gouvernement, n’ayant pas formulé d’observations ;

Les conseils de la société OUICAR ayant eu la parole en dernier ;

A adopté la décision suivante :

Faits et procédure

La société OUICAR (ci-après la société ), anciennement dénommée ZILOK AUTO, a été créée le 27 juillet 2012 et emploie 45 salariés. Son siège social est situé 9, rue du 4 septembre à Paris (75002). Elle édite le site internet www.ouicar.fr , plateforme de location de véhicules entre particuliers, qui compte […] membres et propose entre […] et […] véhicules à la location sur toute la France.

En juillet 2016, l’éditeur du site www.zataz.com a informé les services de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission) d’une violation de données à partir du site www.ouicar.fr . Il lui a ainsi transmis deux exemples d’URL ( Uniform Resource Locator ) permettant d’accéder à des données à caractère personnel.

En application des décisions n° 2016-126C et n° 2016-231C de la Présidente de la CNIL du 27 juillet 2016, des délégations de la Commission ont procédé à des missions de contrôle en ligne du site www.ouicar.fr les 29 juillet 2016 et 31 janvier 2017, ainsi qu’à un contrôle sur place au sein des locaux de la société OUICAR le 3 août 2016. Les procès-verbaux de constats n° 2016-226/1, n° 2016-226/2 et n° 2016-226/3, dressés à l’issue de ces missions, ont été notifiés à la société respectivement les 1er et 5 août 2016 et le 6 février 2017.

Lors de la mission de vérification en ligne réalisée le 29 juillet 2016, la délégation de contrôle a saisi dans la barre de son navigateur l’URL https://www.ouicar.fr/api/car/search?dpt=75 .

Elle a constaté qu’aucune page web n’était affichée mais que l’adresse URL renvoyait des données au format JSON (JavaScript Object Notation), qui est un format directement lisible, correspondant à la réponse d’une interface de programmation applicative ou API (Application Programming Interface) d’un service web.

Elle a ainsi eu accès à une liste des données des véhicules proposés à la location en Ile de France par le site www.ouicar.fr , ainsi qu’aux données de leurs propriétaires et des locataires ayant déposé un ou des avis sur la prestation offerte. Les données affichées étaient structurées en plusieurs parties, dénommées de la façon suivante :

cars décrivant notamment la marque et le modèle du véhicule et indiquant le prix de mise en location ;

owner relative au propriétaire du véhicule, comportant les champs suivants : nom, prénom, adresse postale, téléphone fixe ou portable, date de naissance, numéro de permis de conduire et date d’obtention du permis ;

location reprenant les éléments permettant de localiser le véhicule : l’adresse postale, complétée par l’indication de sa longitude et de sa latitude ;

evaluations ayant trait aux commentaires laissés par des utilisateurs à la suite de la location du véhicule et comprenant les nom, prénom et identifiant de l’auteur du commentaire ;

events reprenant les données à caractère personnel du propriétaire et d’autres utilisateurs.

La délégation de contrôle a constaté qu’il était possible de consulter les données des utilisateurs pour l’ensemble des départements français, à l’exclusion de Saint-Pierre-et-Miquelon, en modifiant la variable correspondant au numéro de département dans l’URL saisie dans le navigateur. Elle a ainsi eu accès à une liste comportant les noms et prénoms de tous les propriétaires et locataires d’un véhicule proposé à la location au moment de la recherche, associés dans la plupart des hypothèses à leur adresse, numéro de téléphone fixe et/ou portable et à la localisation de leurs véhicules, soit aux données de 52 505 personnes.

Elle a, par ailleurs, constaté qu’il était également possible d’accéder aux données de n’importe quel utilisateur en indiquant cette fois comme variable l’identifiant attribué à un utilisateur donné, c’est-à-dire en saisissant une URL du type https://www.ouicar.fr/api/v1/user/get?id=347242 .

A l’issue du contrôle du 29 juillet 2016, la délégation a pris contact avec la société pour l’informer de l’existence d’une violation de données à caractère personnel sur le site.

Le 1er août 2016, la société a répondu qu’elle avait effectué des modifications significatives du code de son site web et envisageait de mettre en production une nouvelle version du site dès le lendemain soir.

Lors d’une deuxième mission de contrôle effectuée au sein des locaux de la société OUICAR le 3 août 2016, la délégation a été informée que les API à l’origine de la violation de données avaient été soit supprimées soit modifiées. La société a, en effet, supprimé les API devenues obsolètes et conservé celles nécessaires à l’affichage du site web mais en modifiant leur réponse de sorte que les données transmises soient identiques à celles affichées sur la page web et donc correspondent uniquement à celles nécessaires à la fourniture du service. Les modifications de ces API ont été effectives le 2 août 2016 à 19 heures.

Par ailleurs, en réponse à une demande de la délégation, la société a indiqué dans un courrier du 11 août 2016 qu’il n’était pas possible de déterminer avec précision la date de mise en production des API qui avaient permis d’accéder librement aux données des utilisateurs. Elle a néanmoins précisé que le site web de la société avait été créé en juillet 2012 et qu’il était établi que les API étaient déjà mises en production en novembre 2013.

[…]

Le 31 janvier 2017, la délégation a procédé à de nouvelles vérifications en ligne et a constaté que la saisie des URL litigieuses dans la barre du navigateur ne permettait plus d’accéder à des données à caractère personnel.

Aux fins d’instruction de ces éléments, la Présidente de la Commission a désigné M. PELLEGRINI en qualité de rapporteur, le 20 avril 2017, sur le fondement de l’article 46 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.

A l’issue de son instruction, le rapporteur a notifié à la société OUICAR, le 11 mai 2017, un rapport détaillant le manquement à la loi Informatique et Libertés qu’il estimait constitué en l’espèce.

Ce rapport proposait à la formation restreinte de la CNIL de prononcer un avertissement public.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du 22 juin 2017, indiquant à l’organisme qu’il disposait d’un délai d’un mois pour communiquer ses observations écrites.

Le 23 mai 2017, la société OUICAR a sollicité que les débats se déroulent à huis clos, ce qui a été refusé par courrier du Président de la formation restreinte du 6 juin suivant, considérant qu’aucun risque d’atteinte à l’ordre public ou à la protection de secrets protégés par la loi n’était caractérisé.

La société a produit le 8 juin 2017 des observations écrites sur le rapport, réitérées oralement lors de la séance de la formation restreinte du 22 juin suivant.

Lors de la séance du 22 juin 2017, la société a renouvelé sa demande de huis clos, à laquelle le Président de la formation restreinte a décidé, pour les mêmes motifs, de ne pas faire droit.

Motifs de la décision

L’article 34 de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Il appartient à la formation restreinte de décider si la société OUICAR a manqué à l’obligation lui incombant de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel contenues dans son système d’information et, en particulier, celles des utilisateurs du site www.ouicar.fr , afin notamment que ces données ne soient pas accessibles à des tiers non autorisés.

En défense, la société soutient que la violation de données résulte d’une simple erreur de code, qui est très répandue et qui n’a causé aucune atteinte à la vie privée des personnes concernées.

Elle affirme, par ailleurs, que la vérification de la violation de données par l’éditeur du site www.zataz.fr avait un caractère frauduleux dès lors que ce dernier ne bénéficie pas du statut protecteur des lanceurs d’alerte.

Elle soutient, en outre, que seule une obligation de moyens et non de résultat était à sa charge et qu’elle a déployé tous les moyens nécessaires afin d’assurer la sécurité des données des utilisateurs. Elle fait, enfin, valoir qu’elle a pris de nombreuses mesures correctives après la révélation de la violation de données.

La formation restreinte relève que le statut de l’éditeur du site www.zataz.fr est sans incidence sur la procédure qui a conduit à sa saisine, les faits et manquements reprochés se fondant sur les seules constatations effectuées par les agents de la CNIL lors des missions de contrôle. Elle note, à cet égard, que les constats de la délégation sont corroborés par la société qui ne conteste pas la survenance d’un incident de sécurité sur le site www.ouicar.fr ayant entrainé une violation de données à caractère personnel.

Tout en soulignant la bonne foi de la société OUICAR qui a réagi immédiatement après la révélation de la violation de données, la formation restreinte estime qu’elle n’avait pas pris en amont les mesures élémentaires de sécurité qui s’imposaient.

La formation restreinte considère, d’une part, que la société aurait dû mettre en place un processus d’authentification permettant de restreindre l’accès aux résultats affichés par les API. Cette simple mesure aurait permis d’empêcher que tout internaute puisse interroger et consulter librement les réponses de ces dernières. D’autre part, la formation restreinte relève que la violation de données aurait pu être réduite si la société avait veillé à n’intégrer dans les réponses des API que les seules données strictement nécessaires à l’affichage de son site web. Elle note que cette mesure de sécurité aurait notamment permis de ne révéler que la première lettre du nom patronymique des utilisateurs et non l’intégralité de ce dernier.

La formation restreinte relève, de surcroît, que cet incident de sécurité a été d’une particulière ampleur en raison du nombre de personnes impactées et de la multitude des catégories de données concernées. Elle rappelle, en effet, que la saisie des URL litigieuses permettaient d’accéder aux données de l’ensemble des utilisateurs du site, soit plus de […] personnes, et d’obtenir ainsi des renseignements particulièrement précis sur ces derniers tels que leurs nom, prénom, date de naissance, date de délivrance et numéro de permis de conduire, adresse postale, coordonnées téléphoniques et données de localisation des véhicules mis en location.

La formation restreinte considère, par ailleurs, que la gravité de cette fuite de données a été accentuée par sa durée. Elle rappelle que les données à caractère personnel sont restées librement accessibles pendant près de trois ans puisque les API se trouvant à l’origine de la violation de données ont été mises en production entre juillet 2012 et novembre 2013. La résolution de la violation de données date, quant à elle, d’août 2016.

Par conséquent, la formation restreinte considère que la société n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées.

Sur la sanction et la publicité

Au regard des éléments développés ci-dessus, les faits constatés constituent un manquement aux dispositions de l’article 34 de la loi du 6 janvier 1978 modifiée.

La formation restreinte considère que la gravité de la fuite de données justifie que soit prononcé à l’encontre de la société OUICAR un avertissement, eu égard au volume important de personnes concernées, à savoir plus de […] personnes, à l’étendue des données à caractère personnel rendues accessibles et à la durée de la violation.

Ces mêmes circonstances conduisent la formation restreinte à rendre publique sa décision.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :

de prononcer un avertissement à l’encontre de la société OUICAR ;

de rendre publique sa délibération, qui sera anonymisée à l’expiration d’un délai de deux ans à compter de sa publication.

Le Président

Jean-François CARREZ

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.

Nature de la délibération: SANCTION
Date de la publication sur legifrance: 26 juillet 2017

 

Remerciements : Marc Rees & Bluetouff.

Quand la Préfecture des Yvelines se fout un peu de vos données personnelles

Posted on by

Vous avez aimé l’article « L’université, webdiploma, le sysadmin, TLS, et la couche 8 » ?

Il s’agit en quelque-sorte du second épisode.

Désormais depuis fin 2013, les permis de conduire sont sous format carte de crédit, fini le « papier rose ».

À la Préfecture des Yvelines, il faut prendre rendez-vous pour le récupérer, il n’y a pas d’envoi par lettre recommandée.

Une fois votre permis reçu par la préfecture, vous recevrez un SMS afin de prendre ce RDV.

Mais pour prendre ce fameux RDV, il faut aller sur le site internet : http://www.yvelines.gouv.fr/

Vous allez tomber sur un truc qui ressemble à cela :

Des infos persos ? Sur une page en clair ?

Bon, tentons d’ajouter un petit S pour faire HTTPS, peut-être que ce n’est pas disponible par défaut  :

Non, Firefox trouve cela chelou aussi.

Et si on y regardait de plus près…

Hop, un petit tour sur SSL Labs et sur CryptCheck :

 

 

 

Configuration problématique (entres-autres) :

  • Taille de la clé du certificat : 1024 bits.
  • Signature du certificat : SHA1withRSA.
  • Présence de SSLV3 : PODDLE.
  • Présence de MD5.
  • Présence de RC4.
  • Présence de DES3.
  • Présence d’un DH d’une taille de 1024 bits.

Suites de chiffrement périmées (entres-autres) :

  • TLS_ECDHE_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

Ah, vu que c’est tout le site qui est touché, même problème pour le formulaire de contact :

(Merci à Stéphane).

Conclusion :

  • Des données personnelles passent en clair sur un site en .gouv.fr, et il n’y a pas possibilité de passer en chiffré.
  • Même si elles passaient en chiffrées, vu la configuration c’est un peu comme si elles passaient en clair.
  • Les citoyens sont obligés d’utiliser ce service non-sécurisé afin de prendre RDV pour récupérer le précieux sésame.
  • Le responsable est astreint à une obligation de sécurité, le fait de ne pas avoir mis en oeuvre les moyens de protection est puni sévèrement par la loi.