RGPD : l'activiste Max Schrems dénonce le système de mails d'Amazon, qui serait non sécurisé

20 février 2020 à 16h05
2
soldes_amazon1600

Les serveurs de l'e-commerçant rejetteraient régulièrement les connexions TSL, occasionnant ainsi l'envoi de courriers électroniques sans authentification ni chiffrement des données.

Max Schrems a encore frappé. L'activiste autrichien, connu pour ses multiples recours contre les géants du numérique, a annoncé avoir déposé plainte contre Amazon auprès de l'autorité de surveillance de l'État de Hesse, en Allemagne, au nom de son organisation à but non lucratif « noyb », le mardi 18 février. Le militant reproche à la firme américaine de ne pas suffisamment sécuriser les mails envoyés par les vendeurs du site via sa marketplace, ce qui serait contraire au RGPD.


Un protocole de cryptage indispensable

Selon la plainte, les mails qui transitent par les serveurs de la marketplace d'Amazon ne seraient pas tous sécurisés. Ce qui peut potentiellement concerner des millions de mails, qui ne fourniraient pas le fameux cryptage TLS, l'un des protocoles cryptographiques permettant l'authentification et le chiffrement des données qui transitent justement entre des serveurs, des ordinateurs ou des applications en réseau, comme lorsqu'un client se connecte à un serveur web.

Ne pas assurer une sécurité standard entraîne deux conséquences majeures. La première est le risque sécuritaire en lui-même, puisque sans cryptage TLS, les mails envoyés par les vendeurs de la marketplace exposent les informations qui transitent, qui peuvent ensuite être interceptées, manipulées ou utilisées illégalement par des acteurs malveillants.

« TLS est comme une enveloppe autour d'une lettre. S'il n'est pas utilisé, n'importe qui peut lire le contenu d'un e-mail en cours d'envoi », confirme Stefano Rossetti, spécialiste des questions de vie privée chez noyb.

Une violation des dispositions du RGPD

La seconde conséquence est qu'il s'agit d'une violation de l'article 32 du Règlement général sur la protection des données européen (RGPD), qui impose aux entreprises de tout mettre en œuvre pour préserver la confidentialité des communications, en sécurisant le traitement, qui passe notamment par le chiffrement des données à caractère personnel et la protection de l'intégrité des systèmes et des services de traitement.

Le cryptage TLS étant relativement bon marché, surtout pour un acteur comme Amazon, il paraît très étonnant de la part de la firme de Seattle qu'elle n'exige, ni autorise TLS pour les courriers électroniques. Google, avec Gmail, et Apple, avec Mail iCloud, utilisent TLS par défaut.

Amazon n'a pour l'instant pas officiellement réagi après le dépôt de la plainte de Max Schrems.


Source : noyb
Modifié le 20/02/2020 à 16h08
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
3
Voir tous les messages sur le forum

Actualités récentes

Envie d'une réelle immersion lors de vos séances ciné à la maison ? Découvrez notre comparatif des amplis Home-Cinema
SoundCloud lance son système de rémunération
Quels sont les meilleurs services Cloud pour stocker ses données en ligne ?
La Space Force, entre risée mondiale et future élite numérique
Blade (Shadow), placée en redressement judiciaire, cherche un repreneur
Ionity, formé par Volkswagen et BMW, veut booster le réseau de recharge européen
Xbox Game Pass : NBA 2K21 et une vague de jeux de sport débarquent bientôt
Brave va lancer un moteur de recherche privé et basé sur un index indépendant
AMD officialise la Radeon RX 6700 XT et avance quelques benchmarks
Forfait RED by SFR : plus que quelques jours pour profiter de l'offre 100 Go à 15€/mois
Haut de page