Dans une délibération du 24 juillet 2018, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 50 000€ à l’encontre de la société Dailymotion, estimant que la société avait manqué à son obligation de sécurité des données à caractère personnel (article 34 de la Loi informatique et libertés).
Fin 2016, un article de presse faisait état d’une fuite de plusieurs millions de données relatives à des adresses électroniques et des mots de passe d’utilisateurs de la plateforme Dailymotion. Suite à cet article, la CNIL a procédé à un contrôle au sein des locaux de la société. Cette dernière a indiqué à la CNIL que la violation de données résultait d’une attaque et que cette violation concernait 82,5 millions d’adresses emails et 18,3 millions de mots de passes chiffrés.
Les informations transmises par la société ont fait apparaitre que les attaquants sont parvenus à accéder aux identifiants d’un compte administrateur de la base de données de la société, stockés en clair sur la plateforme collaborative de développement « Github ». Les attaquants ont ensuite exploité une vulnérabilité trouvée dans le code de la plateforme Dailymotion sur « GitHub ». Cette vulnérabilité leur a permis d’utiliser le compte administrateur pour accéder à distance à la base de données de la société et extraire les données personnelles des utilisateurs.
Si la CNIL reconnait en effet que l’attaque subie par Dailymotion était sophistiquée, elle relève néanmoins que cette attaque n’aurait pu aboutir si des mesures élémentaires en matière de sécurité avait été mises en place (sécurisation de la connexion à distance, filtrage des adresses IP).
Elle sanctionne alors la société par une amende de 50 000€.
Charlotte GALICHET
Sophie RENAUDIN