DAILYMOTION : sanction de 50.000€ pour une atteinte à la sécurité des données des utilisateurs

02 août 2018

La formation restreinte de la CNIL a prononcé une sanction de 50.000 euros à l’encontre de la société DAILYMOTION pour avoir insuffisamment sécurisé les données des utilisateurs inscrits sur sa plateforme d’hébergement de contenus vidéo.

En décembre 2016, un article de presse faisait état d’une importante fuite de données relative à la plateforme DAILYMOTION.

Au cours d’un contrôle réalisé au sein des locaux de la société, celle-ci a indiqué que la violation de données résultait d’une attaque menée en plusieurs étapes et que celle-ci avait concerné 82,5 millions d’adresses emails ainsi que 18,3 millions de mots de passe chiffrés.

Les informations transmises par la société ont fait apparaitre que les attaquants sont parvenus à accéder aux identifiants d’un compte administrateur de la base de données de la société, stockés en clair sur la plateforme collaborative de développement « Github ». Les attaquants ont ensuite exploité une vulnérabilité trouvée dans le code de la plateforme DailyMotion sur « GitHub ». Cette vulnérabilité leur a permis d’utiliser le compte administrateur pour accéder à distance à la base de données de la société et extraire les données personnelles des utilisateurs.

La formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 50.000 euros, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.

Tout en soulignant que l’attaque subie par la société était sophistiquée, la formation restreinte a néanmoins relevé que cette attaque n’aurait pas pu aboutir si certaines mesures élémentaires en matière de sécurité avaient étés mises en place. Dans sa décision, la formation restreinte a tenu compte du fait que seuls des adresses électroniques et des mots de passe chiffrés ont été extraits.

Elle a par ailleurs souligné que :

  • la société n’aurait pas dû stocker en clair au sein de son code source des identifiants relatifs à un compte administrateur ; 
  • dans la mesure où des personnes extérieures à la société étaient amenées à se connecter à distance au réseau informatique interne, elle aurait dû encadrer ces connexions par un système de filtrages des adresses IP ou un réseau privé virtuel (VPN).

Au regard du nombre très important de données en cause et de la nécessité de sensibiliser les responsables de traitement, la formation restreinte a décidé de rendre publique cette décision.

Les mots clés associés à cet article