Faits : La société ACTIVE ASSURANCES est spécialisée dans le domaine d’activité d’intermédiaire en assurance, concepteur et distributeur de contrats d’assurance automobile à des particuliers, en vente directe ou en ligne. Elle dispose d’une succursale à Madagascar.
Dans le cadre de son activité, la société édite le site web www.activeassurances.fr permettant aux personnes de demander des devis ou encore de souscrire des contrats d’assurance automobile.
Les 1er et 27 juin 2018, la CNIL a été informée par un client de la société ainsi que par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) que l’accès aux données personnelles des clients et utilisateurs du site web était possible sans authentification préalable. Elle a donc procédé à un contrôle en ligne le 28 juin 2018 lui permettant de constater la possibilité de cet accès sans authentification préalable, notamment aux nom, prénom, adresse postale et électronique, numéro de téléphone des utilisateurs. De surcroît, il était possible de télécharger des documents PDF concernant les personnes et notamment les pièces d’identité, des devis, des attestations d’assurance automobile et des contrats d’assurance. Enfin, l’accès aux comptes personnels d’autres clients était possible en modifiant simplement le numéro identifiant figurant dans l’une des adresses URL du moteur de recherche Duckduckgo.
La CNIL a informé ACTIVE ASSURANCES de l’existence d’un défaut de sécurité sur son site web et lui a demandé de prendre les mesures nécessaires afin de remédier à cela dans les plus brefs délais.
ACTIVE ASSURANCES lui a indiqué que des mesures de sécurité avaient été prises en ce sens dès le 29 juin 2018. Après de brèves vérifications, la CNIL a constaté qu’il était encore possible d’accéder aux données personnelles de clients et que les mesures élémentaires de sécurité concernant la politique des mots de passe n’étaient pas respectées.
Obligation de sécurité et confidentialité des données : la CNIL établit que des mesures élémentaires de sécurité n’avaient pas été prises en amont du développement du site web, permettant ladite violation et ce malgré les diligences de la société.
Elle considère en outre que :
-La violation de données était possible dès la conception du site web en 2014, puisque ACTIVE ASSURANCES n’avait pas mis en place les mesures minimales appropriées, ne nécessitant pas de développements techniques importants ;
-Le défaut de sécurité s’est vu amplifié de par l’indexation par les moteurs de recherche Duckduckgo, Bing, Qwant et Yahoo ;
-L’accès aux données des clients et utilisateurs du site web était possible via une simple manipulation ne nécessitant pas d’opération complexe ou de maîtrise particulière.
Politique des mots de passe : La CNIL reproche à ACTIVE ASSURANCES la faiblesse de sa politique de mots de passe ne permettant pas d’assurer la sécurité des données traitées.
-En effet, les mots de passe étaient transmis aux clients avec leurs identifiants par courriel non cryptés et affichés en clair dans le corps de l’e-mail.
-L’absence de robustesse des mots de passe ne permet pas d’empêcher des cyber-attaques : le login correspondait simplement au numéro cliente et le format des mots de passe était indiqué sur le formulaire de connexion au compte client, à savoir la date de naissance des utilisateurs, ce qui « facilitait considérablement une attaque par force brute », d’autant que les utilisateurs n’avaient pas la possibilité de modifier leur mot de passe par la suite
-Aucune mesure complémentaire pour l’authentification des personnes (limitation du nombre de tentatives en cas de mot de passe erroné, captcha, etc.) n’avait été mise en place.
-les recommandations de la CNIL en matière de politique de mot de passe sont connues et les entreprises régulièrement alertées par la CNIL sur ce type de mesure minimales de sécurité
Enfin, la transmission de ces derniers par courriel en clair peut conduire à leur interception par quiconque et de ce fait, l’accès aux informations qu’il contient.
Sanction : Une amende de 180K€ assortie de la publicité de la décision.
Publication de la décision : en raison :
-du nombre élevé de documents rendus accessibles (144 890 copies de carte grise, 137 776 copies de permis de conduire, 119 940 RIB, 119 517 devis ou encore 36 068 copies de déclarations de cession de véhicules),
-de la nature particulièrement précise des données (nom, prénom, adresse postale, adresse électronique, date et lieu de naissance, coordonnées bancaires, immatriculation du véhicule ou encore des éléments relatifs à la suspension du permis de conduire et les motifs de résiliation de garantie de la part de la société),
– de la longue durée de l’infraction (plusieurs années) existant dès la conception défectueuse du site et du fait que des mesures de sécurité élémentaires n’avaient pas été mises en place,
-des vigilance et protection renforcées qui étaient nécessitées par certaines données compte tenu de leur nature (infractions commises par les personnes et leurs suites)
Ce qu’il faut retenir : La CNIL rappelle qu’elle n’a aucune obligation de mettre en demeure avant de prononcer une sanction pécuniaire.
Elle tient par ailleurs compte du fait que les responsables de traitement sont informés des bonnes pratiques en matière de vie privée par le biais de ses décisions et avis ; il est vrai que ses recommandations en matière de politique de mots de passe ont été publiés depuis longtemps et qu’elles sont régulièrement rappelées dans les décisions de la CNIL.
Elle constate le fait que le problème vient de failles connues par les développeurs web et se réfère à des guides de bonnes pratiques (Open Web Application Security Project) que la société n’a pas appliqué, pour affirmer qu’elle n’a pas pris les mesures minimales de sécurité nécessaires.
Il est donc essentiel de suivre de près les positions et décision de la CNIL et également de travailler avec des prestataires qui connaissent bien l’état de la technique en matière de sécurité informatique.
Pour en savoir plus : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000038810992
Charlotte URMAN et Marion LUCATTINI – Inlex IP Expertise