En 2016, Dailymotion subissait une attaque ayant pour résultat le vol des données de plus de 82 millions de comptes. La Cnil a mené son enquête et estime que la plateforme de vidéo en ligne a manqué à ses obligations en matière de sécurisation des données, lui infligeant une amende de 50 000 euros.
La Cnil ne prend pas de vacances ! En moins de deux semaines, ce ne sont pas moins de trois organisations qui ont été épinglées par le gendarme des données personnelles, décidément hyperactif depuis quelques mois. Dernière affaire en date : Dailymotion. En décembre 2016, nous apprenions que la plateforme avait été victime d’une attaque ayant eu pour conséquence le vol des données de plus de 80 millions de comptes.
Le mot de passe admin en clair
82,5 millions d’adresses email et 18,3 millions de mots de passe chiffrés, recense la Cnil dans son délibéré. Qui révèle également les mécanismes de l’attaque. A mille lieux de l’injection SQL d’abord évoqué, l’attaque a été permise par la découverte d’un bug dans le code source de la plateforme hébergé sur GitHub. Ni plus ni moins que les identifiants en clair d’un compte admin de la base de données de Dailymotion. Après quoi le bug a été exploité par les attaquants pour s’inviter sur les serveurs du site.
Sur ce point précis, la Cnil tique. Certes Dailymotion argue que la présence en clair du mot de passe de ce compte admin dans le code source était nécessaire pour « le bon déroulement de tests relatifs au compte de service ». Mais le régulateur considère que cette circonstance ne saurait toutefois « justifier la présence constante du mot de passe dans le code source ». D’autant que rien n’interdisait alors un accès externe à l’administration de la plateforme.
Accès libre au SI
Ce que Dailymotion explique par le besoin de laisser ses partenaires accéder à son réseau interne pour ajouter ou supprimer du contenu. Mais la plateforme a immédiatement déployé « une mesure de sécurisation des accès à son système d’information après la découverte de l’attaque ». Il aurait fallu y penser avant, juge la Cnil, puisque « la mise en place de cette mesure dès la conception de la plateforme aurait empêché l’attaquant d’avoir accès à l’interface d’administration depuis Internet ».
Certes, l’attaque était particulièrement sophistiquée et serait le fait de hackers « chevronnés », mais cela ne dédouane pas pour autant Dailymotion. « Cette attaque n’aurait pas pu aboutir si au moins l’une des deux mesures détaillées ci-dessus avait été prise par la société » écrit la Cnil, considérant que la plateforme a méconnu l’article 34 de la loi Informatique et Libertés, à savoir l’obligation de sécurisation des données. Voici donc Dailymotion condamné à une amende de 50 000 euros. La sanction aurait pu être plus lourde, puisque le rapporteur de la Cnil avait dans un premier temps demandé une douloureuse de 500 000 euros, avant que de nouveaux éléments soient versés au dossier.