2 août 2018 (AFP) – La Commission nationale informatique et liberté (Cnil) a annoncé jeudi avoir infligé une amende de 50.000 euros à la plateforme de vidéos en ligne Dailymotion pour ne pas avoir suffisamment “sécurisé les données des utilisateurs inscrits” après un piratage de données intervenu en 2016.
La Cnil justifie cette sanction par le fait que Dailymotion a “manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés”.
En décembre 2016, la plateforme de vidéos en ligne avait signalé que des comptes d’utilisateurs avaient été piratés lors d’une attaque qui avait entraîné la perte des mots de passe mais d’aucune autre donnée personnelle.
“Les informations transmises par la société ont fait apparaitre que les attaquants sont parvenus à accéder aux identifiants d’un compte administrateur de la base de données de la société, stockés en clair sur la plateforme collaborative de développement +Github+. Les attaquants ont ensuite exploité une vulnérabilité trouvée dans le code de la plateforme DailyMotion sur GitHub, a détaillé la Cnil dans sa décision.
La filiale du groupe Vivendi avait elle-même mis cette attaque sur le compte d’un “problème de sécurité externe”, assurant par ailleurs avoir pris “toutes les mesures nécessaires pour trouver la faille et résoudre le problème”.
la société n’aurait pas dû stocker en clair au sein de son code source des identifiants relatifs à un compte administrateur”.
Si la Cnil ne remet donc pas en cause cette version des faits, elle souligne cependant que Dailymotion aurait “dû encadrer (les connexionsexternes) par un système de filtrage des adresses IP ou un réseau privé virtuel”. Elle souligne également que “la société n’aurait pas dû stocker en clair au sein de son code source des identifiants relatifs à un compte administrateur”.
Selon le site spécialisé LeakedSource.com, plus de 87 millions de comptes avaient été piratés lors de cette attaque alors que la Commission estime de son côté que 82,5 millions d’adresses mail et 18,3 millions de mots de passe ont été concernés.