La Federal Trade Commission (FTC) des États-Unis a accusé GoDaddy de violations de la Federal Trade Commission Act pour avoir prétendument maintenu des pratiques de sécurité « déraisonnables » ayant conduit à de multiples failles de sécurité. L'ordonnance de règlement proposée par la FTC exigera que GoDaddy prenne des mesures raisonnables pour renforcer la sécurité et faire appel à des évaluations de sécurité par des tiers.
La FTC a accusé GoDaddy de failles de sécurité
La plainte de la FTC accusait GoDaddy de se présenter à tort comme un hébergeur Web sécurisé par le biais de marketing sur son site Web, dans des e-mails et dans son « Trust Center », alléguant que GoDaddy fournissait à ses clients une « sécurité des données laxiste » dans son environnement d'hébergement Web.
La plainte de la FTC (PDF) déclarait :
« Depuis au moins 2015, GoDaddy se présente comme un choix sécurisé permettant aux clients d'héberger leurs sites Web, vantant son engagement en faveur de la sécurité des données et ses pratiques minutieuses de surveillance des menaces sur plusieurs sites, y compris son site Web principal pour les services d'hébergement, son « Trust Center ». et dans le marketing par courrier électronique et en ligne.
En fait, le programme de sécurité des données de GoDaddy était déraisonnable pour une entreprise de sa taille et de sa complexité. Malgré ses déclarations, GoDaddy était aveugle aux vulnérabilités et aux menaces de son environnement d'hébergement. Depuis 2018, GoDaddy a violé l'article 5 de la loi FTC en ne mettant pas en œuvre des outils et des pratiques de sécurité standard pour protéger l'environnement dans lequel il héberge les sites Web et les données des clients, et pour le surveiller contre les menaces de sécurité.
Règlement proposé
La FTC propose que GoDaddy mette en œuvre un programme de sécurité pour régler les accusations selon lesquelles elle n'a pas réussi à sécuriser ses services d'hébergement Web, mettant ainsi en danger ses clients et les personnes qui ont visité les sites Web compromis de leurs clients lors de failles de sécurité majeures entre 2019 et 2022.
Le règlement propose ce qui suit pour régler les accusations avec GoDaddy :
« Interdire à GoDaddy de faire de fausses déclarations sur sa sécurité et sur la mesure dans laquelle il se conforme à tout programme de confidentialité ou de sécurité parrainé par un gouvernement, une organisation d'autoréglementation ou de normalisation, y compris les cadres de protection des données UE-États-Unis et Suisse-États-Unis ;
Exiger de GoDaddy qu'il établisse et mette en œuvre un programme complet de sécurité des informations qui protège la sécurité, la confidentialité et l'intégrité de ses services d'hébergement de sites Web ; et
Exigez que GoDaddy embauche un évaluateur tiers indépendant qui effectue un examen initial et biennal de son programme de sécurité des informations.
Lisez la déclaration de la FTC :
La FTC prend des mesures contre GoDaddy pour un prétendu manque de sécurité des données pour ses services d'hébergement de sites Web
