Amende pour logiciel obsolète lors de l'exploitation d'une boutique en ligne

Une entreprise de Basse-Saxe s'est récemment vu infliger une amende de 65.500 euros pour avoir exploité une boutique en ligne avec un logiciel obsolète. Les failles de sécurité dues à l'ancienne version du logiciel permettaient de calculer les mots de passe des utilisateurs à peu de frais.

Le reproche

L'autorité de contrôle compétente a profité d'une notification de l'entreprise à l'autorité pour un incident de protection des données pour contrôler la boutique en ligne de l'entreprise.

Résultats de l'enquête

Il s'est avéré que le site Web utilisait l'application de boutique en ligne xt:Commerce dans la version 3.0.4 SP2.1. Celle-ci est obsolète depuis au moins 2004 et, en conséquence, plus aucune mise à jour de sécurité n'est mise à disposition. Le fabricant a même mis en garde contre l'utilisation de cette version en raison d'importantes lacunes de sécurité, entre autres à cause de la possibilité d'attaques par injection SQL.

Les mots de passe stockés dans la base de données étaient certes sécurisés par la fonction de hachage cryptographique "MD5", mais ce procédé cryptographique n'était plus à la pointe de la technique et n'était donc plus conçu pour être utilisé avec les mots de passe. Il était donc possible de casser l'ancienne méthode de cryptage des mots de passe.

En outre, aucun "salt" n'a été utilisé, ce qui aurait rendu le calcul systématique beaucoup plus difficile en prolongeant le mot de passe.

Attaques par injection SQL

Celles-ci permettent aux pirates d'accéder aux données d'accès de toutes les personnes enregistrées dans l'application et à d'autres données de la base de données. Les failles de sécurité de ce type surviennent lorsque toutes les entrées modifiables par l'utilisateur final ne sont pas masquées, de sorte que la base de données ne les considère pas comme des commandes. Si ce masquage fait défaut, chaque commande est exécutée par la base de données en tant que commande avec ses propres droits. Les conséquences sont que la table entière de la base de données peut être éditée, supprimée ou modifiée.

L'amende

L'autorité de contrôle a considéré que les mesures techniques utilisées par le responsable du traitement n'étaient pas appropriées au sens de l'article 25 du RGPD et a donc constaté une violation de l'article 32 I du RGPD.

Lors du calcul de l'amende, il a été tenu compte, à titre d'atténuation, du fait que l'entreprise a informé les personnes concernées suffisamment tôt et leur a recommandé de définir un nouveau mot de passe.

L'entreprise a accepté l'amende de 65 500 euros.

Recommandation

Souvent, il suffit d'utiliser des logiciels actuels et patchés pour éviter les failles de sécurité et exploiter des applications web conformes à la protection des données. L'utilisation de procédés cryptographiques actuels est indispensable et ne demande que peu d'efforts. Les failles de sécurité existantes sont éliminées facilement et rapidement par des mises à jour du fabricant.

En complément des mises à jour, nous effectuons régulièrement des analyses de vulnérabilité de l'extérieur et de l'intérieur chez tous nos clients, afin de trouver les dernières failles de sécurité techniques et les points faibles dans les systèmes informatiques du client.

Les recommandations actuelles pour la mise en œuvre de la sécurisation des mots de passe sont disponibles sur le site Internet de l'Office fédéral allemand de la sécurité des technologies de l'information (BSI) ainsi que dans la directive technique correspondante "Procédures cryptographiques : Recommandations et longueurs de clés" (BSI TR-02102-1).

Dans certains cas, un conseil professionnel sur la solution la plus adaptée est toujours recommandé.