La Commission nationale de l’informatique et des libertés (CNIL) a annoncé ce mercredi avoir infligé une amende de 50 000 euros à Dailymotion. Pourquoi ? Parce que la plateforme de vidéo a connu un piratage en 2016 qui a été une atteinte à la sécurité des données des utilisateurs.
Au cours d’un contrôle réalisé au sein des locaux de Dailymotion, la plateforme en ligne a indiqué que la violation de données résultait d’une attaque menée en plusieurs étapes et que celle-ci avait concerné 82,5 millions d’adresses e-mail, ainsi que 18,3 millions de mots de passe hashés. Les informations transmises par Dailymotion ont fait apparaître que les hackers sont parvenus à accéder aux identifiants d’un compte administrateur de la base de données de la société, stockés en clair sur GitHub. Les hackers ont ensuite exploité une vulnérabilité trouvée dans le code de Dailymotion sur GitHub. Cette vulnérabilité leur a permis d’utiliser le compte administrateur pour accéder à distance à la base de données de la société et extraire les données personnelles des utilisateurs.
La CNIL estime que Dailymotion a manqué à son obligation de sécurité des données personnelles, d’où l’amende de 50 000 euros. La CNIL ajoute que l’attaque était sophistiquée, mais elle souligne qu’elle aurait pu ne pas avoir lieu si Dailymotion avait pris des mesures de sécurité en amont. Le fait que des identifiants liés à un administrateur soient stockés en clair est un gros problème par exemple.
