Dailymotion sanctionné pour son piratage de 2016

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Dailymotion sanctionné pour son piratage de 2016

Publié le 02 août 2018 à 14:10 par Jérôme G.

Lire sur mobile

La Cnil inflige une amende de 50 000 € à Dailymotion pour une grosse fuite de données en 2016. C'est surtout une sanction publique avec la médiatisation de cette affaire.

Fin 2016, le défunt site LeakedSource - qui était très controversé - avait signalé une grosse fuite de données pour la plateforme de vidéos en ligne Dailymotion, avec un impact pour plusieurs millions de comptes.

Dailymotion avait alors évoqué un " problème de sécurité externe " et la possible compromission des mots de passe d'un certain nombre de comptes. Par précaution, il avait été conseillé aux partenaires et utilisateurs de Dailymotion de réinitialiser leurs mots de passe.

Après une intrusion, les données exfiltrées comprenaient plus de 82 millions de noms d'utilisateurs et adresses email. Pour environ un cinquième des comptes affectés, des mots de passe chiffrés (avec l'algorithme bcrypt) étaient également associés.

La Commission nationale de l'informatique et des libertés (Cnil) annonce avoir infligé à Dailymotion une amende de 50 000 € pour avoir " insuffisamment sécurisé les données des utilisateurs inscrits. "

?DAILYMOTION : sanction de 50.000€ pour une atteinte à la sécurité des données des utilisateurs → https://t.co/CF7ITJflGC pic.twitter.com/1NPWpWMJPk
— CNIL (@CNIL) 2 août 2018

La Cnil fait part de l'accès par des attaquants aux identifiants d'un compte administrateur de la base de données de Dailymotion. Ils étaient stockés en clair sur GitHub. Une mauvaise pratique qui n'est pas une première.

" Les attaquants ont ensuite exploité une vulnérabilité trouvée dans le code de la plateforme DailyMotion sur GitHub. Cette vulnérabilité leur a permis d'utiliser le compte administrateur pour accéder à distance à la base de données de la société et extraire les données personnelles des utilisateurs ", écrit la Cnil.

Pour la Cnil, et même si l'attaque est qualifiée de sophistiquée, Dailymotion " n'aurait pas dû stocker en clair au sein de son code source des identifiants relatifs à un compte administrateur. " Selon l'autorité de protection des données personnelles, Dailymotion aurait en outre dû encadrer les connexions externes par un système de filtrage des adresses IP ou un VPN.

Dans cette affaire, Dailymotion a collaboré. Une sanction de 100 000 € avait d'abord été proposée mais elle a finalement été jugée disproportionnée au regard des éléments apportés par Dailymotion et du " nombre réduit de catégories de données exfiltrées " (adresses email et mots de passe chiffrés), " de nature à diminuer le risque d'atteinte à la vie privée des personnes concernées. "

Cela étant, le fait de rendre la sanction publique n'est pas du plus bel effet pour Dailymotion.