40 millions de données d’utilisateurs de la société ed tech Chegg dans la nature
Chegg dans le viseur de la FTC pour de gros manques de sécurité. L'entreprise ne ferait même pas le minimum pour protéger ses données.
Chegg est une société américaine de technologie éducative bien implantée aux États-Unis. La Federal Trade Commission (FTC) a déposé plainte contre l’entreprise, l’accusant d’avoir négligé sa sécurité, ce qui a compromis de nombreuses données personnelles depuis 2017. Parmi les infractions, l’entreprise aurait notamment exposé les données de 40 millions d’utilisateurs en 2018, après qu’un ancien contractuel a utilisé ses identifiants pour accéder à une base de données tierce. Noms, adresses email, mots de passe, mais aussi religion, orientation sexuelle ou revenus des parents se seraient retrouvés en vente sur le marché noir.
Chegg dans le viseur de la FTC pour de gros manques de sécurité
La FTC accuse aussi Chegg de ne pas avoir implémenté de garde-fous “commercialement raisonnables”. Elle aurait laissé des employés et contractuels se partager un même compte, n’aurait pas obligé l’authentification double facteur ni analysé les menaces éventuelles. La société partageait les données personnelles en texte brut et utilisait un chiffrement “faible et dépassé” pour les mots de passe. Chegg n’aurait par ailleurs pas eu de politique de sécurité digne de ce nom avant janvier 2021 et ne forme pas suffisamment à la sécurité malgré trois campagnes de phishing.
Selon la FTC, Chegg s’est engagée à faire amende honorable. L’entreprise devra définir précisément les informations qu’elle collecte et limiter au maximum l’étendue de cette collecte. Elle mettra aussi en place l’authentification double facteur ainsi qu’un programme de sécurité “complet” qui comprend chiffrement et formation en sécurité. Les clients auront accès à leurs données et pourront demander à Chegg d’effacer ces données.
L’entreprise ne ferait même pas le minimum pour protéger ses données
Chegg n’est pas la seule entreprise à avoir eu la FTC sur le dos à cause de problèmes de sécurité. Uber avait trouvé un accord avec le Département de la Justice en juillet dernier pour ne pas avoir averti ses clients d’une faille de sécurité majeure en 2016. Plus récemment, la FTC a sanctionné Drizly et son PDG pour des erreurs ayant conduit à un incident de grande ampleur en 2020. Le gouvernement américain veut empêcher de telles failles de sécurité, ou du moins réduire le risque au maximum, et entend bien punir comme il se doit les sociétés qui ne prennent pas la question de la sécurité au sérieux.
Dans un communiqué, Chegg explique faire de la confidentialité des données une “priorité”. L’entreprise a coopéré avec la FTC et “obtempèrera totalement” avec les demandes de la Commission. Elle ajoute ne pas avoir reçu la moindre amende, ce qui serait, selon elle, la preuve qu’elle travaille à améliorer sa sécurité.