Fuite de données : la CNIL met un carton jaune à DHL

La CNIL adresse un avertissement public à DHL. Plus de 680 000 fiches clients du logisticien étaient librement accessibles sur Internet en raison d’une faille dans une application conçue par un sous-traitant.

La Commission nationale de l’informatique et des libertés (CNIL) adresse un avertissement public au logisticien DHL. La raison du courroux de la CNIL ? La société a laissé traîner plus de 680 000 fiches clients en accès libre sur Internet, des fiches dûment référencées sur le moteur de recherche de Google. La faille affectait les clients du logisticien ayant demandé la relivraison de leur colis, un service offert par l’entreprise.

Les fiches client en question renfermaient l’identité, l’adresse, les numéros de téléphone et adresses électroniques des personnes concernées, ainsi que des informations relatives à la sécurisation des accès aux logements ou à la santé des personnes.

Constatée le 19 février dernier lors d’un contrôle de la CNIL, la faille a été comblée rapidement par la filiale de Deutsche Post, qui a indiqué dès le 28 février avoir pris des mesures correctives. Ce qui n’a pas empêché la Commission d’adresser un avertissement public à la multinationale. Une décision motivée par plusieurs manquements graves de l’entreprise. D’abord, le transporteur était averti depuis la fin de l’année 2013 d’une faille affectant les accès internes à l’application de relivraison. Malgré cela, elle n’a pas mené de « démarche de vérification de la sécurité de l’ensemble de l’application qui lui aurait permis d’isoler la fuite de données », s’énerve la CNIL. Une absence de curiosité qui l’a empêché de découvrir l’autre faille, celle affectant les accès publics via Internet.

Des fiches datant de… 2007

Par ailleurs, la Commission relève que DHL n’avait pas défini de durée de conservation des données « adaptée à la finalité de son traitement ». Les fiches clients les plus anciennes dataient en effet de 2007, note la CNIL. Pas réellement pertinent pour une application de relivraison… DHL affirme avoir depuis limité la conservation des données à un mois et mené à bien la désindexation des fiches sur Google.

Pour sa défense, la société explique que l’application en cause a été conçue par un sous-traitant il y a plusieurs années et que l’absence de sécurisation au niveau de l’adresse IP résulte « d’un défaut de conception du design de l’application ». Pour la CNIL, ces éléments ne dédouanent pas la société qui « demeurait responsable de traitement quand bien même l’origine de la faille serait due à un défaut dans la conception de l’application », relève la formation restreinte de la Commission dans sa délibération.

Pour l’heure, DHL n’a pas réagi publiquement à cette mise en cause. La société ne précise pas quelles mesures elle a prise pour avertir les clients concernés. Pas plus qu’elle n’indique si les données en question ont été, à sa connaissance, récupérées par un tiers pendant le temps où elles étaient librement accessibles. Silicon.fr a sollicité le logisticien sur ces deux aspects et attend ses explications.

Crédit photo © Pavel Ignatov – shutterstock

En complément : la longue série des vols de données ces derniers mois

– Données clients volées : des hackers réclament 30 000 euros à Domino’s Pizza

– Piraté, Ebay lance un appel mondial pour changer les mots de passe

– Les vols de données clients se poursuivent chez Orange

– Données : le vol d’identifiants est à la base de deux attaques sur trois

– 5 questions pour mieux comprendre la fuite de données chez Orange

– Vol de données : Adobe toujours pas sorti d’affaire

– Adobe : le plus grand vol de données de tous les temps ?