La Cnil inflige une amende de 250 000 euros à Bouygues Telecom

La faille de sécurité, repérée par la publication spécialisée en sécurité Zataz, permettait à des individus sans bagages techniques importants d’accéder aux informations de n’importe quel abonné B&You. Cela représente 2 millions de clients. Il suffisait de modifier l’adresse du site web de l’opérateur pour obtenir des données comme le nom, le prénom, les adresses postale et e-mail, le numéro de téléphone, les détails de consommation… Le tout, sans avoir besoin ni de l’identifiant, ni du mot de passe de l’abonné.

Alertée au mois de mars, la Commission Nationale Informatique et Liberté (Cnil) a prévenu Bouygues Telecom qui a rapidement fait le nécessaire pour corriger la faille de sécurité. Une vulnérabilité qui a tout de même duré deux ans. Les données volées ont pu permettre l’organisation de campagnes d’hameçonnage (phishing), d’usurpation d’identité, ou encore de campagnes de ciblage publicitaire. Sans oublier, tout simplement, les atteintes à la vie privée des utilisateurs victimes de cette faille.

La Cnil a donc infligé à l’opérateur une amende de 250 000 euros, lui reprochant un manquement à l’obligation d’assurer la sécurité et la confidentialité des données de ses clients. La commission se réjouit toutefois que Bouygues Telecom ait résolu le problème au plus vite après en avoir été prévenu. L’entreprise n’a pas relevé d’exploitation frauduleuse des données.