Service gratuit JeChange

logo JeChange
Vous souhaitez changer d'opérateur internet ?
Appelez gratuitement le 01 86 26 53 94, un conseiller JeChange vous aide à comparer les meilleures box internet !

01 86 26 53 94

On vous rappelle ?

Bouygues sanctionné par une amende pour avoir mal protégé les données personnelles de ses clients B&You

Mis à jour le
minutes de lecture

La Commission nationale de l'informatique et des libertés (CNIL) condamne Bouygues Telecom à une amende de 250.000 euros pour une faille de sécurité. Motif : l'existence d'une vulnérabilité permettant par la simple modification d'une adresse URL sur son site web d'accéder à des contrats et des factures de clients B&You. Retour sur un incident rapidement réparé.

Deux millions de clients impactés pendant deux ans…

Des centaines de milliers de contrats et de factures accessibles en quelques clics : c'est le résultat d'une gigantesque faille dans le système de protection des données du géant des Télécoms. A l'origine de cette révélation, une enquête de l'Autorité de protection des données qui remonte à mars 2018.

Celle-ci a en effet montré que les contrats et factures de près de deux millions de clients de la marque B&You étaient très facilement accessibles, et leurs informations personnelles vulnérables au piratage. Des documents qui comportent nom et prénom, mais également adresse e-mail, adresse postale, date de naissance, caractéristique de la ligne téléphonique, numéro de téléphone, relevé d'identité ou encore détails de la consommation…

Autant de données personnelles particulièrement recherchées sur le marché noir afin d'être revendues pour des campagnes d'hameçonnage à des arnaques. A l'origine de la faille, une phase de test au cours de laquelle l'opérateur aurait oublié de réactiver sur son site internet la fonction d'authentification à l'Espace client.

Un incident rapidement corrigé

Dès en avoir été informé, Bouygues Telecom a rapidement corrigé la vulnérabilité de son système et les données personnelles de ses clients B&You n'étaient plus librement accessibles. La Commission nationale de l'informatique et des libertés (CNIL) a néanmoins considéré que la société avait manqué à son obligation d'assurer la sécurité des données personnelles des utilisateurs de son site, conformément à l'article 34 de la Loi Informatique et Libertés.

L'opérateur français a ainsi écopé fin décembre 2018 d'une amende de 250.000 euros infligée par la Commission. Un montant relativement peu élevé, la sanction prononcée concernant des faits s'étant entièrement déroulés avant l'entrée en application du règlement européen sur la protection des données personnelles (RGPD) .

De son côté, Bouygues affirme avoir procédé à toutes les vérifications nécessaires pour savoir si la faille avait été exploitée par des internautes malveillants mais n'a pas constaté que ces données circulaient.

Did you find this information useful? 100% of the 2 votes found the information useful.