Passer au contenu

Optical Center doit payer 250.000 euros d’amende pour avoir exposé les données de ses clients

La CNIL a épinglé le fabricant de lunettes pour ne pas avoir protégé les factures de ses clients. Celles-ci étaient librement accessibles depuis le site Web, en raison d’un manque de contrôle d’accès.

Ne pas vérifier les procédures d’authentification sur son site commercial peut coûter cher, comme le prouve la délibération n°SAN-2018-002 que la CNIL vient de publier. Le fournisseur de lunettes Optical Center écope ainsi d’une amende de 250 000 euros pour avoir « insuffisamment sécurisé les données de ses clients ». Cette sanction fait suite à un contrôle effectué le 31 juillet 2017.

En effet, il suffisait d’aller sur le site Web de la société et de faire varier un paramètre dans l’URL de manière incrémentielle pour accéder à des milliers de factures, avec à la clé le nom, le prénom, l’adresse postale, la correction ophtalmique, la date de naissance et le numéro de sécurité sociale du client. Aucune connaissance technique particulière n’était nécessaire pour accéder à ces données qui auraient dû être particulièrement protégées.

Lors de son contrôle, le CNIL a ainsi pu télécharger directement un échantillon de 2085 factures. Un flou persiste sur le nombre total de documents accessibles. En s’appuyant sur des chiffres donnés par Optical Center, la commission estime que la base de données du site contenait « entre 334.769 et 354.806 documents ».
Optical Center conteste cette évaluation, en indiquant que le site ne donnait accès qu’aux documents relatifs aux commandes effectuée en ligne. Mais la CNIL rétorque que la société « ne fournit aucun élément à l’appui de cet argument ».

Une erreur de débutant

Cette faille de sécurité s’explique par un développement Web particulièrement négligent. Comme le précise la délibération, lorsqu’un internaute tentait d’accéder à ces documents sensibles, le site ne vérifiait pas qu’il était connecté de manière authentifiée. Les données étaient par conséquent ouvertes à n’importe qui. Une erreur de débutant.
« L’exposition de ressources sans contrôle d’accès préalable est identifiée depuis de nombreuses années comme faisant paire des failles de sécurité devant faire l’objet d’une surveillance particulière et doit, en conséquence, faire l’objet de vérifications notamment dans le cadre d’audits de sécurité », souligne la CNIL.

Depuis combien de temps cette faille existait-elle sur le site ? Là encore, on ne le sait pas exactement. Optical Center n’est pas en mesure de déterminer sa date d’apparition. La société précise toutefois que le code permettant la visualisation des documents client date de décembre 2016. Cette faille a donc été exploitable entre décembre 2016 et juillet 2017.  

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN