Dailymotion sanctionné pour son piratage de 2016

Le par  |  6 commentaire(s)
Dailymotion_logo

La Cnil inflige une amende de 50 000 € à Dailymotion pour une grosse fuite de données en 2016. C'est surtout une sanction publique avec la médiatisation de cette affaire.

Fin 2016, le défunt site LeakedSource - qui était très controversé - avait signalé une grosse fuite de données pour la plateforme de vidéos en ligne Dailymotion, avec un impact pour plusieurs millions de comptes.

Dailymotion avait alors évoqué un " problème de sécurité externe " et la possible compromission des mots de passe d'un certain nombre de comptes. Par précaution, il avait été conseillé aux partenaires et utilisateurs de Dailymotion de réinitialiser leurs mots de passe.

Après une intrusion, les données exfiltrées comprenaient plus de 82 millions de noms d'utilisateurs et adresses email. Pour environ un cinquième des comptes affectés, des mots de passe chiffrés (avec l'algorithme bcrypt) étaient également associés.

La Commission nationale de l'informatique et des libertés (Cnil) annonce avoir infligé à Dailymotion une amende de 50 000 € pour avoir " insuffisamment sécurisé les données des utilisateurs inscrits. "

La Cnil fait part de l'accès par des attaquants aux identifiants d'un compte administrateur de la base de données de Dailymotion. Ils étaient stockés en clair sur GitHub. Une mauvaise pratique qui n'est pas une première.

" Les attaquants ont ensuite exploité une vulnérabilité trouvée dans le code de la plateforme DailyMotion sur GitHub. Cette vulnérabilité leur a permis d'utiliser le compte administrateur pour accéder à distance à la base de données de la société et extraire les données personnelles des utilisateurs ", écrit la Cnil.

Pour la Cnil, et même si l'attaque est qualifiée de sophistiquée, Dailymotion " n'aurait pas dû stocker en clair au sein de son code source des identifiants relatifs à un compte administrateur. " Selon l'autorité de protection des données personnelles, Dailymotion aurait en outre dû encadrer les connexions externes par un système de filtrage des adresses IP ou un VPN.

Dans cette affaire, Dailymotion a collaboré. Une sanction de 100 000 € avait d'abord été proposée mais elle a finalement été jugée disproportionnée au regard des éléments apportés par Dailymotion et du " nombre réduit de catégories de données exfiltrées " (adresses email et mots de passe chiffrés), " de nature à diminuer le risque d'atteinte à la vie privée des personnes concernées. "

Cela étant, le fait de rendre la sanction publique n'est pas du plus bel effet pour Dailymotion.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2025866
Bon c'est juste un site de plateforme vidéo qui franchement ne doit pas être beaucoup utilisée.

Bon d'accord Dailymotion a stocké ces mots de passe en clair.

Les mots de passe seront toujours un soucis, que ça soit pour une entreprise ou un particulier.

Je me souviens de mon premier travail ou l'ordinateur était protégé soi-disant par un mot de passe. Le nom utilisateur était contrôle et le mot de passe était contrôle.
Le #2025873
sebou a écrit :

Bon c'est juste un site de plateforme vidéo qui franchement ne doit pas être beaucoup utilisée.

Bon d'accord Dailymotion a stocké ces mots de passe en clair.

Les mots de passe seront toujours un soucis, que ça soit pour une entreprise ou un particulier.

Je me souviens de mon premier travail ou l'ordinateur était protégé soi-disant par un mot de passe. Le nom utilisateur était contrôle et le mot de passe était contrôle.


82 millions de comptes (la France compte 67-68 millions d'habitants). Ca fait déjà beaucoup

Perso, je suis plutôt content que ces sanctions soient publié (ce qui a plus d'impact que 50 000 euros :sweat_smile.

En espérant que cela leur serve de leçons et pousser les entreprises à protéger correctement nos données
Le #2025881
sebou a écrit :

Bon c'est juste un site de plateforme vidéo qui franchement ne doit pas être beaucoup utilisée.

Bon d'accord Dailymotion a stocké ces mots de passe en clair.

Les mots de passe seront toujours un soucis, que ça soit pour une entreprise ou un particulier.

Je me souviens de mon premier travail ou l'ordinateur était protégé soi-disant par un mot de passe. Le nom utilisateur était contrôle et le mot de passe était contrôle.


J'ai souvent vu pire : un post-it avec le MdP sur le bord de l'écran
Le #2025883
Comment peut on, en 2018, après les centaines de scandales du même type, laisser des mots de passe en clair ?
Le #2026095
Et où va le pognon ?
Le #2026114
Jarod5001 a écrit :

Et où va le pognon ?


Dans les caisses de l'état, et donc en partie dans les tiennes et celles de ta famille
Suivre les commentaires
Poster un commentaire
Anonyme