Arnaques et données personnelles : que faire en cas de divulgation de données liées à une escroquerie ?

Vous avez été victime d’une escroquerie par laquelle un cybercriminel vous a incité à partager des informations confidentielles, telles que des données bancaires. Il s’agit d’un cas de violation de données personnelles dites d’ « ingénierie sociale ». Retrouvez les directives officielles à suivre dans un tel cas de violation de données personnelles.

Le texte ci-dessous constitue la traduction en français des lignes directrices publiées par le Comité européen de la protection des données (CEPD) en cas de violation de données personnelles, telle une  divulgation de données liées à une escroquerie.

1. CAS n° 01: Le vol d’identité par l’ingénierie sociale

Le centre de contact d’une société de télécommunications reçoit un appel téléphonique d’une personne qui se fait passer pour un client. Le prétendu client demande à l’entreprise de modifier l’adresse électronique à laquelle les informations de facturation doivent être envoyées à partir de maintenant. L’employé du centre de contact valide l’identité du client en lui demandant certaines données personnelles, telles que définies par les procédures de l’entreprise. L’appelant indique correctement le numéro fiscal et l’adresse postale du client demandé (car il avait accès à ces éléments). Après validation, l’opérateur effectue le changement demandé et, à partir de là, les informations de facturation sont envoyées à la nouvelle adresse électronique. La procédure ne prévoit aucune notification à l’ancien contact électronique. Le mois suivant, le client légitime contacte la société, demandant pourquoi il ne reçoit pas de facturation à son adresse électronique, et nie tout appel de sa part demandant le changement du contact électronique. Plus tard, l’entreprise se rend compte que les informations ont été envoyées à un utilisateur illégitime et annule le changement.

A. Évaluation, atténuation et obligations en matière de risques

Ce cas sert d’exemple sur l’importance des mesures préalables. Du point de vue du risque, la violation présente un niveau de risque élevé[1], car les données de facturation peuvent donner des informations sur la vie privée de la personne concernée (par exemple, ses habitudes, ses contacts) et pourraient entraîner des dommages matériels (par exemple, harcèlement, risque pour l’intégrité physique). Les données personnelles obtenues lors de cette attaque peuvent également être utilisées afin de faciliter la prise de contrôle de comptes dans cette organisation ou d’exploiter d’autres mesures d’authentification dans d’autres organisations. Compte tenu de ces risques, la mesure d’authentification « appropriée » doit répondre à une exigence élevée, en fonction des données à caractère personnel qui peuvent être traitées à la suite de l’authentification.

Par conséquent, le responsable du traitement doit à la fois notifier l’AC et communiquer avec la personne concernée.

Le processus antérieur de validation des clients doit manifestement être affiné à la lumière de cette affaire. Les méthodes utilisées pour l’authentification n’étaient pas suffisantes. La partie malveillante a pu se faire passer pour l’utilisateur prévu en utilisant des informations accessibles au public et des informations auxquelles elle avait accès par ailleurs.

L’utilisation de ce type d’authentification statique basée sur la connaissance (où la réponse ne change pas, et où l’information n’est pas « secrète » comme ce serait le cas avec un mot de passe) n’est pas recommandée.

Au lieu de cela, l’organisation devrait utiliser une forme d’authentification qui permettrait d’obtenir un degré élevé de confiance dans le fait que l’utilisateur authentifié est la personne visée, et non quelqu’un d’autre. L’introduction d’une méthode d’authentification multifactorielle hors bande permettrait de résoudre le problème, par exemple pour vérifier la demande de changement, en envoyant une demande de confirmation à l’ancien contact ; ou en ajoutant des questions supplémentaires et en exigeant des informations uniquement visibles sur les factures précédentes. Il incombe au responsable du traitement de décider des mesures à mettre en place, car c’est lui qui connaît le mieux les détails et les exigences de son fonctionnement interne.

[1] Pour des orientations sur les opérations de traitement « susceptibles d’entraîner un risque élevé« , voir la note de bas de page 1 ci-dessus.

B. Exfiltration d’e-mails

Une chaîne d’hypermarchés a détecté, 3 mois après sa configuration, que certains comptes de messagerie avaient été modifiés et que des règles avaient été créées pour que chaque courriel contenant certaines expressions (par exemple « facture », « paiement », « virement bancaire », « authentification de carte de crédit », « coordonnées bancaires ») soit déplacé vers un dossier inutilisé et également transféré vers une adresse électronique externe. De plus, à ce moment-là, une attaque par ingénierie sociale avait déjà été réalisée, c’est-à-dire que l’attaquant, se faisant passer pour un fournisseur, avait modifié les coordonnées bancaires de ce fournisseur pour les remplacer par les siennes. Enfin, à ce moment-là, plusieurs fausses factures avaient été envoyées avec les nouvelles coordonnées bancaires. Le système de surveillance de la plateforme de messagerie a fini par donner une alerte concernant les dossiers. L’entreprise n’a pas été en mesure de détecter comment l’attaquant a pu accéder aux comptes de messagerie, mais elle suppose qu’un courriel infecté est à l’origine de l’accès au groupe d’utilisateurs en charge des paiements.

En raison de la transmission d’e-mails basée sur des mots-clés, l’attaquant a reçu des informations sur 99 employés : nom et salaire d’un mois particulier concernant les 89 personnes concernées ; nom, état civil, nombre d’enfants, salaire, heures de travail et informations résiduelles sur la perception du salaire de 10 employés dont les contrats avaient pris fin. Le responsable du traitement n’a notifié que les 10 employés appartenant à ce dernier groupe.

 

2. CAS n° 02: Exfiltration d’e-mails

Une chaîne d’hypermarchés a détecté, 3 mois après sa configuration, que certains comptes de messagerie avaient été modifiés et que des règles avaient été créées pour que chaque courriel contenant certaines expressions (par exemple « facture », « paiement », « virement bancaire », « authentification de carte de crédit », « coordonnées bancaires ») soit déplacé vers un dossier inutilisé et également transféré vers une adresse électronique externe. De plus, à ce moment-là, une attaque par ingénierie sociale avait déjà été réalisée, c’est-à-dire que l’attaquant, se faisant passer pour un fournisseur, avait modifié les coordonnées bancaires de ce fournisseur pour les remplacer par les siennes. Enfin, à ce moment-là, plusieurs fausses factures avaient été envoyées avec les nouvelles coordonnées bancaires. Le système de surveillance de la plateforme de messagerie a fini par donner une alerte concernant les dossiers. L’entreprise n’a pas été en mesure de détecter comment l’attaquant a pu accéder aux comptes de messagerie, mais elle suppose qu’un courriel infecté est à l’origine de l’accès au groupe d’utilisateurs en charge des paiements.

En raison de la transmission d’e-mails basée sur des mots-clés, l’attaquant a reçu des informations sur 99 employés : nom et salaire d’un mois particulier concernant les 89 personnes concernées ; nom, état civil, nombre d’enfants, salaire, heures de travail et informations résiduelles sur la perception du salaire de 10 employés dont les contrats avaient pris fin. Le responsable du traitement n’a notifié que les 10 employés appartenant à ce dernier groupe.

A. Évaluation, atténuation et obligations en matière de risques

Même si l’attaquant ne visait probablement pas à collecter des données à caractère personnel, étant donné que la violation pourrait entraîner des dommages matériels (par exemple, une perte financière) et immatériels (par exemple, une usurpation d’identité ou une fraude), ou que les données pourraient être utilisées pour faciliter d’autres attaques (par exemple, le hameçonnage), la violation des données à caractère personnel est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques. Par conséquent, la violation doit être communiquée à tous les 99 employés et pas seulement aux 10 dont les données salariales ont été divulguées.

Après avoir pris connaissance de la violation, le responsable du traitement a imposé un changement de mot de passe pour les comptes compromis, a bloqué l’envoi d’e-mails à la messagerie de l’attaquant, a notifié au prestataire de services l’e-mail utilisé par l’attaquant concernant ses actions, a supprimé les règles définies par l’attaquant et a affiné les alertes du système de surveillance afin de donner une alerte dès qu’une règle automatique est créée. Le responsable du traitement pourrait également retirer aux utilisateurs le droit de définir des règles de transfert et demander à l’équipe de services informatiques de ne le faire que sur demande. Il pourrait aussi instaurer une politique selon laquelle les utilisateurs devraient vérifier les règles définies sur leurs comptes et en rendre compte une fois par semaine, voire plus souvent dans les domaines traitant des données financières.

Le fait qu’une violation ait pu se produire et passer inaperçue pendant si longtemps et le fait que, dans un délai plus long, l’ingénierie sociale aurait pu être utilisée pour modifier davantage de données, ont mis en évidence des problèmes importants dans le système de sécurité informatique du responsable de traitement. Il convient de s’y attaquer sans tarder, notamment en mettant l’accent sur les examens d’automatisation et les contrôles des changements, ainsi que sur les mesures de détection et de réponse aux incidents. Les responsables de traitement qui traitent des données sensibles, des informations financières, etc. ont une plus grande responsabilité en termes de sécurité des données.

 

Vous pouvez demander un devis gratuit pour connaître le montant de nos prestations.

 

Deshoulières Avocats vous accompagne dans toutes les procédures liées aux violations de données personnelles.

DEMANDER UN DEVIS GRATUIT