Alertée en mars de cette année par la publication en ligne Zataz, la Commission nationale informatique et liberté (Cnil) a enquêté sur une faille de sécurité présente sur le site web de B&You, l’opérateur sans engagement de Bouygues Telecom. Cette vulnérabilité a permis pendant deux ans à quiconque ayant un minimum de compétences techniques d’accéder aux données personnelles de deux millions d’abonnés B&You. Il suffisait en fait de modifier l’adresse du site web pour obtenir ces informations…
Les pirates ont ainsi pu récupérer les noms, prénoms, adresses e-mail et postale, numéros de téléphone, détails de la consommation et autres informations sensibles de ces abonnés. Des données qui peuvent potentiellement servir à la mise en place d’opérations de hameçonnage (phishing) ou d’usurpation d’identité. Prévenu par la Cnil, Bouygues Telecom a fait le nécessaire pour sécuriser le site web de B&You. Toutefois, la commission a infligé une amende de 250 000 euros à l’opérateur.
Et l’amende aurait pu être plus salée, si la vulnérabilité avait été découverte après la mise en œuvre du règlement européen sur les données (RGPD). La Cnil, qui se réjouit de la réaction rapide de Bouygues Telecom après l’alerte, estime tout de même que l’opérateur a manqué de vigilance pendant tout ce temps. Pour l’entreprise, il n’y a pas lieu de prévenir les utilisateurs de B&You étant donné que la vulnérabilité a été corrigée.
Les pirates ont ainsi pu récupérer les noms, prénoms, adresses e-mail et postale, numéros de téléphone, détails de la consommation et autres informations sensibles de ces abonnés. Des données qui peuvent potentiellement servir à la mise en place d’opérations de hameçonnage (phishing) ou d’usurpation d’identité. Prévenu par la Cnil, Bouygues Telecom a fait le nécessaire pour sécuriser le site web de B&You. Toutefois, la commission a infligé une amende de 250 000 euros à l’opérateur.
Et l’amende aurait pu être plus salée, si la vulnérabilité avait été découverte après la mise en œuvre du règlement européen sur les données (RGPD). La Cnil, qui se réjouit de la réaction rapide de Bouygues Telecom après l’alerte, estime tout de même que l’opérateur a manqué de vigilance pendant tout ce temps. Pour l’entreprise, il n’y a pas lieu de prévenir les utilisateurs de B&You étant donné que la vulnérabilité a été corrigée.