Dailymotion sanctionné par la Cnil pour une atteinte à la sécurité des données des utilisateurs

La formation restreinte de la CNIL a prononcé, le 24 juillet 2018, une sanction de 50 000 euros à l’encontre de la société Dailymotion pour avoir insuffisamment sécurisé les données des utilisateurs inscrits sur sa plateforme d’hébergement de contenus vidéo, en méconnaissance de l’article 34 de la loi Informatique et libertés. En décembre 2016, un article de presse faisait état d’une importante fuite de données relative à la plateforme de vidéos. La CNIL a alors procédé à une mission de contrôle au sein des locaux de Dailymotion. Celle-ci a indiqué que la violation de données résultait d’une attaque menée en plusieurs étapes et qui avait concerné 82,5 millions d’adresses emails ainsi que 18,3 millions de mots de passe chiffrés. Il apparaît que les auteurs de cette attaque sont parvenus à accéder aux identifiants d’un compte administrateur de la base de données de la société, stockés en clair sur une plateforme collaborative de développement. La CNIL a retenu que cette attaque n’aurait pas pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place. La plateforme aurait dû « encadrer les connexions externes par un système de filtrage des adresses IP ou un réseau privé virtuel », ce qui justifie le prononcé de la sanction.