Accueil A la une Le RGPD fait prendre conscience des vols de données

Le RGPD fait prendre conscience des vols de données

par Etienne Henri
cybersecurite

Voilà une nouvelle qui a de quoi faire frémir toutes les personnes naviguant sur Internet.

Le 4 décembre, le réseau social de questions-réponses Quora a annoncé avoir détecté une intrusion dans ses systèmes informatiques. Selon l’alerte émise par les administrateurs du site, des pirates seraient désormais en possession d’une grande quantité de données personnelles dont le détail, nous allons le voir, est particulièrement inquiétant.

Cette attaque, d’une ampleur encore jamais vue, nous rappelle une fois de plus la vulnérabilité des systèmes informatisés centralisés – et celle, par extension, de leurs utilisateurs impuissants face à des cybercriminels déterminés.

Un piratage record 

100 millions de comptes, soit le double du nombre total d’internautes sur le territoire français.

L’ampleur de l’attaque donne le tournis.

Ce sont plus de 100 millions de comptes, soit le double du nombre total d’internautes sur le territoire français, qui ont été touchés.

En vertu du RGPD, Quora a dû s’astreindre à un douloureux exercice de transparence en indiquant clairement la liste des données dont les pirates ont pris possession.

Cette liste est pour le moins inquiétante puisqu’elle englobe :

  • nom,
  • adresse e-mail,
  • mot de passe crypté,
  • données importées à partir de réseaux liés lorsqu’elles sont autorisées par les utilisateurs,
  • contenus des actions publiques,
  • et contenus des actions non publiques.

Les deux éléments mis en gras sont particulièrement problématiques.

Le premier concerne l’intégration entre Quora et Facebook. Comme souvent lorsque les visiteurs s’inscrivent au moyen de leur compte Facebook sous prétexte de facilité, ils autorisent en même temps Quora à accéder à certaines de leurs données personnelles. Lesquelles ? Mystère. Les administrateurs restent muets à ce sujet.

Tout ce que nous savons aujourd’hui, c’est que Quora aspirait certaines données depuis le compte Facebook de ces utilisateurs pressés, et que ces données sont désormais aux mains des pirates.

Quora aspirait certaines données depuis le compte Facebook de ces utilisateurs pressés, et que ces données sont désormais aux mains des pirates.

Le second élément mérite également une explication. Comme tout bon réseau social, Quora permet à ses membres d’effectuer des actions publiques (visibles par tous les visiteurs et les moteurs de recherche), et des actions privées. Ces dernières sont, en théorie, seulement visibles par les personnes dûment choisies.

Le piratage fait voler en éclat cette barrière virtuelle : données publiques comme « privées » ont été dérobées avec autant de facilité.

Autant dire que les utilisateurs doivent désormais considérer que tout ce qu’ils ont fait sur le site, et par extension sur Facebook, est potentiellement public et peut se retourner contre eux.

Comment réagir en tant qu’internaute ? 

Ce piratage d’une ampleur jamais vue appelle à une première réaction d’urgence : les utilisateurs de Quora qui avaient cédé à la facilité en utilisant un mot de passe partagé avec d’autres sites doivent impérativement le changer, sur Quora comme ailleurs.

Pour le reste des données, il est trop tard. Identité, avis sur différentes questions de société, messages entre membres : toutes ces informations sont dans la nature et il n’est plus possible d’empêcher leur circulation.

Dans un second temps, il convient à chacun de réfléchir à son usage de l’outil informatique.

Il est plus que jamais nécessaire de réaliser que les données en ligne, qu’elles soient confiées à des sites web ou stockées dans le Cloud, sont vulnérables et que leur sécurisation totale est impossible.

Les industriels face à la sécurité des données 

Le RGPD et l’obligation de transparence qu’il impose en cas de piratage vont progressivement faire prendre conscience aux acteurs du Web et aux citoyens que les données accessibles en ligne sont, par essence, fragiles.

Les pirates avaient également dérobé numéros de passeport et de carte de paiement !

Chaque alerte reçue enfoncera le clou dans l’esprit du grand public.

Le mois dernier, Dell a été victime d’une attaque visant l’identité, l’e-mail, et les mots de passe des utilisateurs du site dell.com. L’entreprise n’a pu que constater l’intrusion sans pour autant parvenir à déterminer la quantité exacte de données dérobées.

Quelques jours avant, la compagnie aérienne Cathay Pacific avait annoncé le piratage de plus de 9 millions de comptes. Cette fois-ci, en plus de l’identité des utilisateurs, les pirates avaient également dérobé numéros de passeport et de cartes de paiement !

Ils ont désormais en leur possession tout ce qu’il faut pour effectuer fraude bancaire et usurpation d’identité à grande échelle. Et malheur aux victimes qui lutteront pour prouver leur bonne foi en cas de contestation…

Ces fuites gravissimes devraient, à terme, devenir de plus en plus rares lorsque grandes entreprises et administrations auront mis en place les règles élémentaires de prudence imposées par le RGPD : morcellement des bases de données, gestion de risques dès la conception, stockage crypté généralisé.

Ces dernières semaines montrent que nous en sommes encore très loin. Pirates et sociétés de cybersécurité n’ont pas fini de se frotter les mains !

Soyez le premier informé des dernières Opportunités Technos directement dans votre boîte mail

Articles similaires

Laissez un commentaire