La CNIL reproche à Dailymotion des pratiques de sécurité antérieures au piratage de 2016. / LIONEL BONAVENTURE / AFP

La Commission nationale informatique et liberté (CNIL) a annoncé jeudi avoir infligé une amende de 50 000 euros à la plateforme de vidéos en ligne Dailymotion pour ne pas avoir suffisamment « sécurisé les données des utilisateurs inscrits », après un piratage de données intervenu en 2016 et mené par « des délinquants informatiques chevronnés » selon la commission.

La CNIL justifie cette sanction par le fait que Dailymotion a « manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi informatique et libertés ».

En décembre 2016, la plateforme de vidéos en ligne avait signalé que des identifiants et des mots de passe d’utilisateurs avaient été piratés lors d’une attaque, qui n’avait entraîné la perte d’aucune autre donnée personnelle. « Aucun des usagers [de Dailymotion] n’avait fait état d’un quelconque préjudice à la suite de l’incident de sécurité », plus d’un an après l’attaque, relaie la CNIL dans l’explication de sa décision.

« Les informations transmises par la société ont fait apparaître que les attaquants sont parvenus à accéder aux identifiants d’un compte administrateur de la base de données de la société, stockés en clair sur la plateforme collaborative de développement Github. Les attaquants ont ensuite exploité une vulnérabilité trouvée dans le code de la plateforme DailyMotion sur Github », a détaillé la CNIL dans sa décision.

82,5 millions d’adresses mail piratées

La filiale du groupe Vivendi avait elle-même mis cette attaque sur le compte d’un « problème de sécurité externe », assurant par ailleurs avoir pris « toutes les mesures nécessaires pour trouver la faille et résoudre le problème ».

Si la CNIL ne remet donc pas en cause cette version des faits, elle souligne cependant que Dailymotion aurait « dû encadrer [les connexions externes] par un système de filtrage des adresses IP ou un réseau privé virtuel ». La gestion des conséquences de l’attaque n’est donc pas visée par la commission, qui souligne cependant des pratiques imprudentes en termes de sécurité qui auraient rendu possible le piratage.

Elle souligne également que « la société n’aurait pas dû stocker en clair au sein de son code source des identifiants relatifs à un compte administrateur ».

Selon des estimations de Dailymotion, reprises par la commission, 82,5 millions d’adresses mail et 18,3 millions de mots de passe ont été piratés lors de cette attaque.

Le premier rapport effectué par la CNIL évoquait une amende de 500 000 euros, avant de retomber à 100 000 euros après l’apport, par Dailymotion, de précisions sur l’attaque subie. L’absence de plaintes d’utilisateurs et la pleine coopération de l’entreprise dans l’enquête ont notamment convaicu la commission de diviser l’amende requise par deux.