Une erreur sur le site de l’opérateur permettait d’accéder aux contrats de souscription d’un peu plus de deux millions de clients B&YOU. Si la faille a rapidement été corrigée après son signalement, son ampleur et sa durée de vie (plus de deux ans) valent à Bouygues une amende de 250 000 euros infligée par la Cnil.
Au lendemain de Noël, Bouygues Telecom a reçu de la part de la Cnil un cadeau bien peu plaisant, sous la forme d’une condamnation à 250 000 euros d’amende. Le gendarme des données personnelles reproche à l’opérateur de ne pas avoir suffisamment sécurisé les informations de ses abonnés. Est en cause une faille de son site web exposant les données de plus de deux millions de clients B&YOU.
Une fois encore, il s’agit de l’absence de mesures suffisantes permettant d’authentifier un abonné cherchant à accéder à son contrat. Selon l’autorité, une modification de la fin de l’URL donnant accès à un contrat de souscription donnait accès aux contrats d’autres abonnés. Le problème a été simultanément signalé à Bouygues et à la Cnil en mars 2018, le second effectuant une mission de contrôle dans les locaux de l’opérateur, lequel s’empressait de corriger le défaut de sécurité.
A l’origine de celui-ci, Bouygues pointe du doigt la fusion des marques Bouygues Telecom et B&You et des systèmes informatiques correspondants, en 2015. « Une base spécifique aux anciens clients B&You a été conservée par la société afin de permettre à ces clients et anciens clients d’accéder à leurs contrats et factures. Il s’agit de la base de données concernée par la violation de données » note la Cnil. Lors de tests, « le code informatique rendant nécessaire l’authentification au site web www.bouyguestelecom.fr avait été désactivé » pour ne jamais être réactivé « en raison d’une erreur humaine commise par une personne agissant pour le compte de la société ».
L’erreur est humaine
Toutefois, l’existence de cette erreur humaine invalidant une mesure de sécurité mise en place par l’opérateur pour protéger les données de ses abonnés ne blanchit pas Bouygues pour autant, note la Cnil. En effet, l’opérateur a d’une part fait le choix de ne pas mettre en œuvre de mesure de sécurité complémentaire et de l’autre n’a pas été suffisamment vigilant quant à l’unique technique d’authentification, les tests et audits menés régulièrement ayant été inefficaces à découvrir le bug pendant plus de deux ans.
Parmi les données exposées, noms, prénoms, dates de naissance, adresses email, adresses physiques et numéros de téléphone mobile. Devant l’ampleur du défaut de sécurité tant en terme de durée que du nombre de personnes affectées, la Cnil a décidé d’infliger à Bouygues Telecom une douloureuse de 250 000 euros, quand le rapporteur de l’autorité demandait initialement une amende de 500 000 euros. Mais la réactivité de Bouygues à corriger le problème aura joué en sa faveur.