En décembre 2016, la plateforme de vidéos en streaming, Dailymotion a été hackée et 82,5 millions d'adresses mails et 18,3 millions de mots de passe chiffrés ont été dérobés. Une formation restreinte de la CNIL vient de prononcer une sanction pécuniaire d’un montant de 50 000 € contre le site de partage de vidéos, estimant que Dailymotion a manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.
Les informations transmises par la société à la CNIL après l'attaque ont en effet révélé que les pirates sont parvenus à accéder aux identifiants d’un compte administrateur de la base de données de la société. Ces derniers étaient stockés en clair sur la plateforme collaborative de développement Github... Les attaquants ont ensuite exploité une vulnérabilité trouvée dans le code de la plateforme Dailymotion sur GitHub. Cette vulnérabilité leur a permis d’utiliser le compte administrateur pour accéder à distance à la base de données de la société et extraire les données personnelles des utilisateurs.
Pas de filtrage des IP ou de VPN
Même si elle reconnaît que l’attaque subie était sophistiquée, la formation restreinte estime néanmoins que cette attaque n’aurait pas pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place par Dailymotion. Dans sa décision, la formation restreinte a souligné que l'entreprise n’aurait pas dû stocker en clair au sein de son code source des identifiants relatifs à un compte administrateur. Et « dans la mesure où des personnes extérieures à la société étaient amenées à se connecter à distance au réseau informatique interne, elle aurait dû encadrer ces connexions par un système de filtrages des adresses IP ou un réseau privé virtuel (VPN) » ajoute l'autorité de régulation dans un communiqué.
Commentaire