Dans une récente délibération, la Cnil a rappelé une nouvelle fois que certaines mesures de sécurité élémentaires permettent d’éviter les attaques informatiques les plus sophistiquées. Les déficiences de Dailymotion en matière de sécurité ont ainsi amené la juridiction administrative à condamner la plateforme internet au paiement d’une amende de 50.000 euros.

Dans sa délibération, la Cnil a reproché en particulier à Dailymotion de ne pas avoir mis en place deux types de mesures de sécurité pourtant basiques.

En premier lieu, la Cnil a fait grief à Dailymotion de ne pas avoir veillé à la protection du mot de passe d’un compte administrateur de la plateforme.

La plateforme Dailymotion présentait la particularité de nécessiter d’inclure « en clair » (sans fonction de hachage) le mot de passe d’un compte d’administration dans son code source, afin de permettre le bon déroulement de tests de non-régression du site.  La Cnil a considéré qu’à défaut de procéder au hachage du mot de passe dans le code source, il incombait à Dailymotion de rechercher des solutions alternatives, permettant d’éviter le stockage permanent de ce mot de passe dans le code. Parmi ces alternatives, la Cnil a suggéré de stocker ce mot de passe au sein du réseau interne de Dailymotion et de l’injecter en temps réel dans le code uniquement pour la durée des phases de tests, puis de le supprimer une fois le test terminé.

En deuxième lieu, la Cnil a reproché à Dailymotion de n’avoir mis en place aucune mesure de limitation des accès externes à l’administration du système d’information. Dailymotion justifiait cette carence par son souci de permettre à ses partenaires extérieurs d’accéder à son réseau interne afin d’ajouter ou supprimer librement du contenu. Sans surprise, la Cnil a rappelé ses exigences minimales en matière de sécurisation du réseau, telles que la mise en place d’une mesure de filtrage des adresses IP identifiées et autorisées ou l’utilisation d’un VPN.

La mise en place de ces deux types de mesures aurait permis d’éviter cette attaque. Parmi les circonstances de faits pris en compte par la Cnil pour fixer le montant de l’amende à 50.000 euros, figurent d’une part la négligence de Dailymotion et le nombre considérable de personnes concernées (82,5 millions d’utilisateurs) ; et d’autre part, le nombre réduit de catégories extraites (adresses emails et mots de passe) ainsi que la bonne coopération de Dailymotion avec les services de la Cnil.

Références : CNIL, Délibération n°SAN-2018-008 du 24 juillet 2018