RGPD : l’opérateur NRJ Mobile sera-t-il le premier à être sanctionné ?

En changeant simplement quelques numéros d’une adresse URL, il était possible d’accéder aux données personnelles de n’importe quel client de l’opérateur. Une faille rapidement colmatée mais qui pourrait coûter gros après la mise en vigueur du RGPD.  

Le 9 juin dernier, plusieurs utilisateurs dont Damien Bancal, journaliste spécialiste en cybersécurité, ont remarqué une importante faille de sécuritésur le site web de l’opérateur téléphonique NRJ Mobile. 

La boite de Pandore s’ouvrait d’un simple clic

La nouvelle faisait tâche alors que le RGPD était entré en vigueur le 25 mai dernier. Le Règlement Général relatif à la Protection des Données est censé redonner aux utilisateurs le contrôle de leurs données personnelles. A condition que les entreprises qui les exploitent mettent leurs procédures en conformité avec ce nouveau texte de lois. 

Un vaste éventail de sanctions est d’ailleurs pour les entreprises contrevenantes. Et il se pourrait bien que l’opérateur NRJ Mobile soit l’un des premiers à en faire les frais. Damien Bancal expliquait qu’en faisant la démarche classique d’inscription sur le site web de l’opérateur s’affichait une URL suivie d’un numéro de commande. D’un simple clic, il était alors possible d’avoir accès aux données d’un autre utilisateur en changeant simplement la suite de chiffres dans l’URL. 

Sans identifications de connexion, et alors que l’abonnement n’est pas souscrit, les informations accessibles étaient sous la forme suivante : Identités, date de naissance, département de naissance, adresse postale, adresse mail et numéro de téléphone. Selon l’indicateur affiché par le site, 17 379 398 fiches clients étaient accessibles en deux clics de souris. 

Damien Bancal, journaliste 

 

NRJ Mobile punit malgré sa réactivité ?

Damien Bancal confesse tout de même qu’il lui a été plus que difficile de faire remonter l’information à la maison mère. Cependant, une fois informée autour du 9 juin, NRJ Mobile aurait immédiatement désactivé la page avant de colmater la brèche.  

Le lendemain, la fuite était rebouchée. Plus d’URL modifiable. Les services pouvaient tous réouvrir. Par ailleurs, un espace « sécurité » devrait prochainement faire son apparition afin de faire plus facilement remonter les informations au DPO (data protection officier) du groupe. 

Car oui, il est bien question de RGPD dans cette faille qui intervient après la mise en vigueur du texte. La CNIL a bien été prévenue de cette fuite, aucune décision, que ce soit une relax ou une sanction, n’a encore été prononcée. Mais il se pourrait que l’opérateur mobile soit dans les premiers à être rappelé à l’ordre.  

Par ailleurs, NRJ Mobile n’a pas non plus communiqué sur cette faille. Que ce soit sur Twitter ni par un quelconque communiqué.  

Ajouter aux articles favoris
Please login to bookmark Close
0 Shares:
Vous pourriez aussi aimer

Un premier avenant intéressant pour la PSC du ministère de l’Intérieur

Un an après la signature de l’accord ministériel du 16 mai 2024 sur la protection sociale complémentaire (PSC) des agents du ministère de l’Intérieur et des outre-mer, un premier avenant est venu, le 12 mars 2025, en corriger plusieurs aspects. Publié au Journal officiel d'aujourd'hui, ce texte modifie la structure des bénéficiaires, ajuste un article sur la gouvernance et corrige une rédaction ambiguë sur les ayants droit. La principale évolution porte sur...

Budget 2025 : plus de 33 milliards d’euros alloués aux établissements médico-sociaux par la CNSA

Un arrêté publié au Journal officiel d'aujourd'hui, fixe pour l’année 2025 l’objectif de dépenses et le montant total annuel des financements alloués aux établissements et services médico-sociaux relevant de la Caisse nationale de solidarité pour l’autonomie (CNSA). L’objectif de dépenses est établi à 33 248,30 Md€ pour l’ensemble du secteur. Ce montant se répartit entre 17 538,87 Md€ pour les établissements et services accueillant des personnes âgées...

Dotations médico-sociales 2025 : 32,55 Md€ répartis entre les régions par la CNSA

Par décision du 2 juin 2025, publiée au Journal officiel d'aujourd'hui, la Caisse nationale de solidarité pour l’autonomie (CNSA) a fixé les dotations régionales limitatives applicables aux établissements et services médico-sociaux pour l’année 2025. Ces dotations, réparties par Agence régionale de santé (ARS), concernent à la fois les structures accueillant des personnes âgées et celles destinées aux personnes en situation de handicap. Le montant total...