S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Sécurisation des données bancaires : la FNAC sanctionnée par la CNIL

Open Cata

La CNIL vient d’adresser un avertissement public à la société FNAC Direct, qui exploite le site Internet de la FNAC, après avoir constaté des lacunes dans la conservation et la sécurisation des données bancaires de ses clients. L’autorité administrative a effectivement observé lors d’un contrôle que les informations relatives à plusieurs millions de cartes bancaires avaient été stockées sans protection suffisante.

fnac

 

Fin février, les services de la CNIL procèdent à plusieurs contrôles portant notamment sur les bases de données relatives aux comptes clients et aux commandes passées sur le site Internet de la FNAC. De nombreux manquements à la loi Informatique et Liberté sont alors constatés comme le manquement à l'obligation de recueillir le consentement des personnes à la conservation de leurs informations bancaires. Mais la CNIL pointe aussi une violation de l’article 34 de la loi relatif à la sécurisation des données.

 

En elle note dans sa délibération en date du 19 juillet qu’il est alors « établi que dans la même base de données apparaît le nom du porteur de la carte, son numéro de carte bancaire, la date d’expiration de celle-ci, et parfois (lorsqu’il n’a pas été purgé) son cryptogramme visuel, l’ensemble de ces éléments étant conservé dans la même base, en clair, sans hachage ni chiffrage ». Autant dire que de telles informations, si elles étaient tombées entre de mauvaises mains, auraient rapidement pu conduire à de nombreux achats en ligne... D’autant plus que plusieurs millions de cartes bancaires, expirées ou encore en cours de validité, étaient alors concernées. 780 000 cryptogrammes étaient en outre conservés.

 

La CNIL explique ainsi que même si les conditions de sécurité retenues « n'ont pas porté préjudice aux clients, elles étaient insuffisantes au regard de la sensibilité des données ». C’est notamment sur la base de ce manquement à l'article 34 de la loi de 1978 que l’autorité administrative a décidé d’adresser un avertissement public à FNAC Direct. Depuis, la société a toutefois procédé à « la mise en place d'un système de traitement et de conservation des données caractérisé par un haut niveau de sécurité », afin de ne plus s’exposer à de nouvelles sanctions de la part de la CNIL.

 

Depuis le début de l'année, des défauts de sécurisation similaires ont conduit à la divulgation de milliers de mots de passe. Ce fut par exemple le cas de Yahoo!, qui s'est fait voler 450 000 mots de passe au début du mois. Nous avions ainsi eu l'occasion d'interviewer Gwendal Le Grand, chef du service de l’expertise informatique de la CNIL, qui nous avait confirmé que le stockage en clair de données personnelles était clairement « une pratique à proscrire ».(Voir notre article : Interview de la CNIL sur les défauts de sécurisation des données personnelles).

Xavier Berne

Journaliste, spécialisé dans les thématiques juridiques et politiques.

Publiée le 27/07/2012 à 15:54

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 38 commentaires

Avatar de Obidoub INpactien
Obidoub Le vendredi 27 juillet 2012 à 15:59:45
Inscrit le jeudi 13 janvier 11 - 567 commentaires
+1 pour le sous-titre et la capture d'écran
Avatar de tAran INpactien
tAran Le vendredi 27 juillet 2012 à 16:04:37
Inscrit le samedi 21 mai 05 - 3860 commentaires
Etonnant..
Je ne pensais pas que les données bancaires étaient stockées en interne..
Avatar de clownie INpactien
clownie Le vendredi 27 juillet 2012 à 16:08:51
Inscrit le dimanche 15 février 09 - 335 commentaires
Maintenant je me rappelle pourquoi je passe systématiquement par paypal pour tous mes paiements...
Avatar de sniperdc INpactien
sniperdc Le vendredi 27 juillet 2012 à 16:12:09
Inscrit le vendredi 24 août 07 - 7318 commentaires


Hey c'est qui ce bouzin ma carte est référencée donc réviser la sécurité !
De tout les façons en attendant je vais demander la suppression de ma carte sur leurs servers.
Avatar de Quentindirt INpactien
Quentindirt Le vendredi 27 juillet 2012 à 16:13:42
Inscrit le jeudi 12 mai 05 - 373 commentaires

Toutes les données en clair dans la même base!

Par contre la CNIL n'émet qu'un avertissement publique. Pas d'amende, autrement dire peu de conséquences.

Depuis, la société a toutefois procédé à « la mise en place d'un système de traitement et de conservation des données caractérisé par un haut niveau de sécurité »


Ils ont mis en place le hachage md5

Il y a 38 commentaires

;