Bouygues Telecom écope d’une amende de 250 000 euros de la Cnil



Aurélien Delacroix
27/12/2018

On ne plaisante pas avec la sécurité des données. Bouygues Telecom l’a appris à ses dépens : en laissant en place une faille de sécurité pendant deux ans sur son site web, l’opérateur écope d’une amende de 250 000 euros infligée par la Cnil.


Alertée en mars de cette année par la publication en ligne Zataz, la Commission nationale informatique et liberté (Cnil) a enquêté sur une faille de sécurité présente sur le site web de B&You, l’opérateur sans engagement de Bouygues Telecom. Cette vulnérabilité a permis pendant deux ans à quiconque ayant un minimum de compétences techniques d’accéder aux données personnelles de deux millions d’abonnés B&You. Il suffisait en fait de modifier l’adresse du site web pour obtenir ces informations…

Les pirates ont ainsi pu récupérer les noms, prénoms, adresses e-mail et postale, numéros de téléphone, détails de la consommation et autres informations sensibles de ces abonnés. Des données qui peuvent potentiellement servir à la mise en place d’opérations de hameçonnage (phishing) ou d’usurpation d’identité. Prévenu par la Cnil, Bouygues Telecom a fait le nécessaire pour sécuriser le site web de B&You. Toutefois, la commission a infligé une amende de 250 000 euros à l’opérateur.

Et l’amende aurait pu être plus salée, si la vulnérabilité avait été découverte après la mise en œuvre du règlement européen sur les données (RGPD). La Cnil, qui se réjouit de la réaction rapide de Bouygues Telecom après l’alerte, estime tout de même que l’opérateur a manqué de vigilance pendant tout ce temps. Pour l’entreprise, il n’y a pas lieu de prévenir les utilisateurs de B&You étant donné que la vulnérabilité a été corrigée.