Juridique

Dailymotion frappé par la CNIL d'une amende de 50 000 euros

Dailymotion frappé par la CNIL d'une amende de 50 000 euros
Fin 2016, ce sont plus de 80 millions d'adresses e-mails et 18 millions de mots de passe qui avaient fuité après un défaut de sécurité de Dailymotion. (Crédit : Dailymotion)

Après le piratage d'identifiants de millions de ses utilisateurs en 2016, Dailymotion vient de se faire sanctionner par la CNIL. L'éditeur français de la plateforme de partage de vidéos devra payer 50 000 € pour son manque de sécurisation des données personnelles.

PublicitéEn décembre 2016, la plateforme de vidéos en streaming Dailymotion a été hackée et 82,5 millions d'adresses mails et 18,3 millions de mots de passe chiffrés ont été dérobés. Une formation restreinte de la CNIL vient de prononcer une sanction pécuniaire d'un montant de 50 000 € contre le site de partage de vidéos, estimant que Dailymotion a manqué à son obligation de sécurité des données personnelles, en méconnaissance de l'article 34 de la loi Informatique et Libertés.

Les informations transmises par la société à la CNIL après l'attaque ont en effet révélé que les pirates sont parvenus à accéder aux identifiants d'un compte administrateur de la base de données de la société. Ces derniers étaient stockés en clair sur la plateforme collaborative de développement Github... Les attaquants ont ensuite exploité une vulnérabilité trouvée dans le code de la plateforme Dailymotion sur GitHub. Cette vulnérabilité leur a permis d'utiliser le compte administrateur pour accéder à distance à la base de données de la société et extraire les données personnelles des utilisateurs.

Pas de filtrage des IP ou de VPN

Même si elle reconnaît que l'attaque subie était sophistiquée, la formation restreinte estime néanmoins que cette attaque n'aurait pas pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place par Dailymotion. Dans sa décision, la formation restreinte a souligné que l'entreprise n'aurait pas dû stocker en clair au sein de son code source des identifiants relatifs à un compte administrateur. Et « dans la mesure où des personnes extérieures à la société étaient amenées à se connecter à distance au réseau informatique interne, elle aurait dû encadrer ces connexions par un système de filtrages des adresses IP ou un réseau privé virtuel (VPN) » ajoute l'autorité de régulation dans un communiqué.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Disposez-vous d’une liste complète et descriptive des contenus de toutes les bases de données gérées ?