Discussion :

[Stéphane le calme]

RGPD : le réseau social allemand Knuddels.de condamné à payer une amende de 20 000 €,
pour avoir stocké des mots de passe en clair

Le réseau social allemand Knuddels.de va devoir payer une amende de 20 000 euros, car il stockait des mots de passe non chiffrés. Ainsi, la société de Karlsruhe a violé l’obligation de garantir la sécurité des données à caractère personnel, a informé le commissaire à la protection des données du Bade-Wurtemberg, Stefan Brink, jeudi à Stuttgart.

Il a expliqué qu’après avoir été victime d’une attaque, la société s'était adressée à la DPA pour tenir informés immédiatement les autorités ainsi que les utilisateurs. Selon la société, environ 808 000 adresses de courrier électronique et 1 872 000 pseudonymes et mots de passe ont été volés par des inconnus et publiés sur Internet.

En plus des pseudonymes utilisés pour accéder à la plateforme, les pirates ont également rendu publics les mots de passe associés, les adresse mail ainsi que des informations sur le prénom ou le lieu de résidence. Les utilisateurs de la plateforme ont donc été invités à changer leur mot de passe, pour ceux qui sont concernés et ne l’avaient pas encore fait. Une nécessité pour ceux qui utilisent le même mot de passe ou une variante similaire sur d'autres sites Web.

Ces données ont été publiées en septembre 2018.

L’Inspection des données du Land de Bade-Wurtemberg a annoncé que l’enquête subséquente avait montré que Knuddel conservait des mots de passe en clair et en format non crypté.

C’est une violation du paragraphe 1 de l’article 32 du RGPD sur la sécurité du traitement.

Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

« La société a mis en place des mesures complètes pour améliorer l'architecture de la sécurité informatique en quelques semaines. En outre, la société engagera de nouvelles mesures pour améliorer encore la sécurité des données dans les semaines à venir, en coordination avec l'inspection allemande des données ».

L’audit a également révélé que Knuddel.de était responsable de tous les processus et procédures. Cela a permis d'améliorer très rapidement la sécurité « en très peu de temps ».

L'amende aurait pu être plus élevée. Mais la surveillance des données allemande annonce qu'elle n'est pas intéressée à participer à un concours visant à infliger les amendes les plus lourdes possibles. « Au final, il s'agit d'améliorer la confidentialité et la sécurité des données pour les utilisateurs », insiste-t-elle. Rappelons que depuis mai, de nouvelles règles européennes sur la protection des données sont en vigueur et ont été définies dans le règlement général sur la protection des données (RGPD). Elles prévoient des amendes allant jusqu'à 20 millions d'euros ou pouvant aller jusqu'à 4% du chiffre d'affaires annuel réalisé dans le monde.

Brink a déclaré que la société avait travaillé de manière exemplaire avec son agence et avait considérablement amélioré la sécurité informatique. « Ceux qui tirent les enseignements du mal et agissent de manière transparente pour améliorer la protection des données peuvent émerger plus forts en tant qu'entreprise contre un piratage ».

Holger Kujath, directeur général de Knuddels GmbH & Co. KG, a déclaré: « L'attaque de hackers était un véritable test de stress pour Knuddels ». Il lui est immédiatement apparu que la confiance des utilisateurs ne pouvait être rétablie que par une communication transparente et une amélioration notable de la sécurité informatique. « Knuddels est plus sûr que jamais », a-t-il poursuivi.

Knuddels affirme avoir plus de deux millions de membres inscrits.

Notons par ailleurs qu'au Portugal, les sanctions relatives au RGPD ont déjà commencé à tomber. En effet, c'est un hôpital qui a été condamné à une amende de 400 000 euros il y a un mois pour non-contrôle de la sécurité des données à caractère personnel.

Sources : Spiegel, RGPD texte

Et vous ?

Que pensez-vous de la décision allemande de ne pas alourdir la sanction pécuniaire ?
Les autres pays en UE gagneraient-ils à s'en inspirer ?

Voir aussi :

Pays-Bas : la collecte de données de Microsoft Office pourrait enfreindre le RGPD et lui valoir une amende, d'après un rapport
Privacy International porte plainte contre sept entreprises de la Tech pour violation du RGPD auprès des autorités européennes
La Roumanie ordonne à des journalistes d'investigation de révéler leurs sources en vertu du RGPD, dans un cas de corruption au sommet du pouvoir
Violations de données personnelles : la CNIL dresse un premier bilan chiffré, quatre mois après l'entrée en application du RGPD
Etude : Google est le plus grand bénéficiaire du RGPD grâce à sa position dominante, et à une concentration sur le marché de la publicité en ligne

[CalyphoZz]

C'est possible en 2018 que des entreprises stocks encore des mots de passe en clair ? c'est clairement le premier truc que tu apprend niveau RGPD... surtout pour un réseau social

[ddoumeche]

Suite à l'entrée en fonction de la RGPD et l'impossibilité de faire appel, nous étudions sérieusement la sous-traitance de notre informatique vers une société de droit privé située en dehors du territoire de l'UE. Probablement britannique ou Suisse.

Sécurité par obfuscation.

A bon entendeur, messieurs de la CNIL.

[defZero]

Comme l'a si bien écrit "CalyphoZz", stocker un mot de passe en claire dans une DB en 2018 c'est chercher les e***de.
Par contre concernant ce qu'a écrit "ddoumeche", je peut me tromper mais il me semble que la RGPD s'applique à toute entreprise traitant des donnés "personnel" de citoyen de l'UE, donc aucun intérêt de délocaliser son SI pour ça.

[lemalo]

Suite à l'entrée en fonction de la RGPD et l'impossibilité de faire appel, nous étudions sérieusement la sous-traitance de notre informatique vers une société de droit privé située en dehors du territoire de l'UE. Probablement britannique ou Suisse.

Sécurité par obfuscation.

A bon entendeur, messieurs de la CNIL.

Le sous-traitant devra être conforme au RGPD (cf article 28). Le règlement s'applique pour le traitement de données personnelles de personnes en Europe, peu importe l'implantation de la société (comprendre UE / hors UE).

Ta société reste responsable de traitement.

Elle restera responsable au yeux du règlement.

[MiaowZedong]

C'est possible en 2018 que des entreprises stocks encore des mots de passe en clair ? c'est clairement le premier truc que tu apprend niveau RGPD... surtout pour un réseau social

Je suis venu avec la crainte que ce genre d'action plombe les petites start-up et renforce encore davantage la domination de Facebook. Mais en fait c'est just vraiment des branques qui se sont fait prendre à faire une connerie que même un ado amateur n'aurait pas fait en 1995.

[Aiekick]

c'est super le RGPD... 808 000 adresses de courrier électronique et 1 872 000 pseudonymes et mots de passe et seulement 20000 euros d'amandes ?

[ddoumeche]

Le montant des amendes prévues par la CNIL est totalement disproportionné par rapport à la faute commise, faute dont la victime est tout autant la société piratée que le consommateur. Il est donc hors de question de se mettre en péril juridique et financier vis à vis d'un organisme face à qui il n'y a aucun recourt, car on est hors du cadre légal mais dans le réglementaire.

Or toute société est hackable. Et il n'y a pas de certification RGPD, la CNIL refusant d'en délivrer donc aucune société française n'est conforme par principe et c'est la parole de l'expert CNIL contre la notre. En conséquence, mieux vaut comme auparavant prendre un sous-traitant certifié ISO/CEI 27001/27002 si vous tenez à la sécurité de votre SI.

[Marco46]

seulement 20000 euros d'amandes ?

A 5 euros le kilo ça fait quand même 4 tonnes hein ...

[Tlams]

Suite à l'entrée en fonction de la RGPD et l'impossibilité de faire appel, nous étudions sérieusement la sous-traitance de notre informatique vers une société de droit privé située en dehors du territoire de l'UE. Probablement britannique ou Suisse.

Sécurité par obfuscation.

A bon entendeur, messieurs de la CNIL.

Je travaille en Angleterre.
Malgré le Brexit, le sujet est totalement d'actualité, les ordres sont se mettre conforme car la législation va évoluer dans cette direction d'une façon ou d'une autre.
https://www.gov.uk/government/public...ion-regulation