Le 2 Janvier dernier, un portail sur le site MyTF1.fr a été piraté par un groupe de hackers, ce qui a conduit au vol d’environ 2 millions de données concernant les clients de ce service.

L’entreprise Sony Picture a fait face le 24 Novembre dernier à un important vol de données confidentielles, concernant autant ses employés, des tiers, mais aussi des documents confidentiels, dont certains films inédits, comme la comédie parodique « The Intervew ». Mais Sony n’est pas la seule grande entreprise de média à faire face à des cyberattaques d’ampleur. En effet, le groupe TF1 a reconnu dans un communiqué le 3 Janvier dernier que l’un de ses partenaires commerciaux avait subi une cyberattaque, ayant conduit au vol de 1.9 millions de données personnelles concernant les clients de la plateforme qu’il gère sur le site Mytf1.fr.

le piratage

Le partenaire commercial de TF1 Viapresse gérait l’espace « magazines » de mytf1.fr, qui met à la disposition des abonnés certains titres de presse. Les pirates sont parvenus à dérober 1.9 millions de données personnelles des utilisateurs de cette plateforme. Des hackers se revendiquant du groupe « Linker Squad » ont informés de ce vol le site Zataz.com, spécialiste de la délinquance informatique, en transmettant des captures d’écrans contenant des adresses e-mail, des mots de passe et des données bancaires sous forme de RIB d’abonnés de cette plateforme. Pour autant, la société Viapresse ne reconnaît que le vol de l’identité, de l’adresse, de l’e-mail et du mot de passe de la plateforme magazine des clients.

Les hackers étaient parvenus à exploiter une faille du site, qui a été réparée dans l’heure par les équipes techniques du partenaire commercial du groupe, qui ont de plus supprimé l’accès à la plateforme depuis le 3 Janvier.

Le journaliste Damien Bancal, qui a récolté le témoignage des hackers, a rapporté que ces informations seraient probablement revendues. Les pirates ont déclarés que leur but était de « défier les sociétés victimes de piratage, qu’ils se rendent compte de leurs erreurs ». Le journaliste ajoute que ce genre d’attaque est en général orchestrées par des personnes motivées par l’appât du gain.

La réaction de TF1

TF1 a déclaré que « aucune données des internautes inscrits sur TF1.fr et gérés par TF1 n’ont été exposés, ni piratés ». Le groupe s’est ainsi dédouané de la responsabilité des conséquences de cette intrusion. Une porte parole du groupe a ainsi annoncée « C’est vraiment Viapresse qui est engagé, c’est sa gestion de ses abonnements ». Enfin, le directeur général de TF1, Olivier Abecassis, a déclaré que « nous règlerons nos différends avec le partenaire défaillant dans le cadre du secret des affaires. Il va sans dire que TF1 défendra ses intérêts à la hauteur du préjudice subi ».

Les conséquences de l’affaire

TF1 s’est empressé de rejeter la faute sur son partenaire car, dans ce genre d’affaire, le préjudice principal est celui qui atteint son image de marque. En effet, Si le groupe perd la confiance de ses clients pour la protection de leurs données personnelles, cela risque d’entraîner un préjudice financier très important avec la désaffection du site. Il est donc probable que le groupe saisisse la justice, afin d’établir un constat à l’amiable avec Viapresse.

Bien entendu, on peut aussi s’attendre à une action en justice de TF1 et de son partenaire à l’encontre des auteurs présumés du piratage. Ces derniers risque une peine de cinq ans d’emprisonnement et de 75 000 euros d’amende.

En ce qui concerne la responsabilité de Viapresse, TF1 n’est pas nécessairement dans son bon droit. En effet, le responsable d’un traitement de données à caractère personnel peut se voir condamné par la justice en cas de piratage, même si la faille vient d’un prestataire extérieur dans certaines circonstances, comme ce fut le cas pour Orange. Les responsables de traitements sont soumis à l’article 34 de la loi informatique et libertés : ils doivent prendre « toutes précautions utiles pour préserver la sécurité des données (…) ». Le non respect de cet article est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Cette affaire soulève l’épineuse question de l’utilisation de prestataire extérieur par des entreprises pour la gestion de données personnelles de leurs clients. En effet, cela permet de limiter les coûts, mais peut entrainer un manque de structuration dans les politiques générales de sécurisation des données. En l’occurrence, les clients de l’espace magazine de TF1.fr n’étaient pas nécessairement au courant qu’un prestataire extérieur avait en charge la gestion de leurs propres données personnelles. Ces incertitudes peuvent aussi casser la confiance entre TF1 et ses clients. De plus, cette absence de transparence est susceptible de déboucher sur des poursuites de la part des utilisateurs de MyTF1.fr contre ces derniers.

SOURCES

-PONCET (G.), « Tout comprendre sur le piratage de TF1.fr », Lepoint.fr, mis en ligne le 5 Janvier 2015, consulté le 6 Janvier 2015 http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/tout-comprendre-sur-le-piratage-de-tf1-fr-05-01-2015-1894038_506.php

-DE MARTIGNAC (M.), « TF1 piraté : des hackers dérobent les données de 1.9 millions de clients », Leparisien.fr, mis en ligne le 3 Janvier 2015, consulté le 6 Janvier 2015 http://www.leparisien.fr/high-tech/tf1-pirate-des-hackers-derobent-les-donnees-de-1-9-millions-de-clients-03-01-2015-4416577.php#xtref=https%3A%2F%2Fwww.google.fr%2F

-CORRIEZ (O.), « Piratage des données d’un partenaire de TF1.fr  : les explications », Tf1.fr, mis en ligne le 3 Janvier 2015, consulté le 6 Janvier 2015 http://lci.tf1.fr/economie/medias/piratage-des-donnees-d-un-partenaire-de-tf1-fr-les-explications-8541642.html

-REES (M.), « Un partenaire de TF1 piraté, quelles conséquences juridiques ? », nextimpact.com, mis en ligne le 5 Janvier 2015, consulté le 7 Janvier 2015 http://www.nextinpact.com/news/91600-un-partenaire-tf1-pirate-quelles-consequences-juridiques.htm