Les factures sur Internet, une information à protéger

Alors que la planète découvre que le données personnelles sont des denrées qu’adorent picorer les pirates informatiques, voici deux nouveaux cas qui démontrent qu’Orange, eBay, dernières victimes médiatiques d’une fuite d’informations appartenant à leurs clients, sont loin d’être des faits isolés.

Seule différence entre Orange, eBay et nos deux exemples qui vont suivre, la communication faite aux clients. Dans le cas d’Orange, la loi et la CNIL imposent d’informer les clients en cas de fuite/piratage. Dans le cas d’eBay, c’est la loi américaine qui impose l’alerte. En France, si une société autre qu’un FAI/Opérateur fuite, la CNIL et la LOI n’imposent aucune obligation d’alerte. Un détail aberrant tant les fuites/piratages de nos données sont légions sur la toile. Rien que pour le protocole d’alerte de ZATAZ.COM (Mode d’emploi, alertes ZATAZ en cours), nous avons dépassé les 50.000 cas depuis la création de votre webzine, voilà 18 ans.

La facture, une base de données qui s’ignore

Les procédés électroniques de gestion des factures permettent de réduire les coûts de 50 à 80 % par rapport aux procédés papier. Les investissements dans le traitement des factures par voie électronique sont donc souvent amortis en moins de 6 mois. De nombreuses sociétés utilisent déjà des procédés électroniques. On estime qu’en 2014, environ 40 milliards de factures seront envoyées et archivées à l’échelle mondiale, sans avoir recours au papier.

De plus en plus de clients s’attendent à recevoir des factures électroniques de la part de leurs fournisseurs. Par conséquent, des taux de croissance prolongés de 20 % sont prévus pour le marché des factures électroniques au cours des années à venir. Sauf qu’il ne faudrait pas penser que les factures n’ont pas à être protégées comme nous allons vous le montrer dans les deux exemples qui vont suivre, des alertes du protocole d’alerte de zataz.com.

Des dizaines de millions de factures en 1 clic

L‘excellent site de vente en ligne Show Room Privé a corrigé, voilà quelques semaines, une faille qui donnait accès à pas moins de 30 millions de factures appartenant aux clients du site de vente en ligne. France, Belgique, Suisse, Espagne, … bref, tous les acheteurs passant par le portail. Lors de chaque achat, une facture électronique est générée automatique. Un lien est envoyé au client. Seulement, il suffisait de modifier le numéro proposé dans l’url communiqué par Show Room pour se retrouver face à d’autres informations personnelles appartenant à d’autres clients : noms, adresses postales, commandes, numéros de téléphone. Heureusement, aucune donnée bancaire. A noter une seconde fuite, 7 millions de clients, via l’application mobile de la boutique. Ici, plusieurs millions d’adresses postales accessibles. Alertée, l’entreprise a très rapidement corrigée ses trous.

exemple 1

Autre style, autre genre, la cyber boutique « Ma lentille ». Ici aussi, accès aux factures des clients. Plus de 100.000, via un simple lien accessible à partir de n’importe quel navigateur. Il suffisait d’avoir un compte pour, malheureusement, accéder à l’identité et l’adresse postale du client, ainsi que le montant de sa facture, et des données médicales, celles de la correction et du type de problème oculaire visant le client. Alerté par le protocole d’alerte de ZATAZ, l’entreprise a rapidement mis un terme à la fuite… qu’elle n’avait pu voir sans notre avertissement.

exemple 2

Risque sur facture

Que peut faire un escroc, un pirate, bref un internaute malveillant des informations contenues dans une facture ? L’un des principaux risques, l’usurpation d’identité. Utiliser les noms, prénoms, adresses postales, numéros de téléphones, les intitulés des achats pour piéger les clients. Une fausse proposition commerciale par exemple, incitant la féru de bonnes affaires qui se cache dans votre maison à télécharger un faux bon de réduction, une fausse application pour smartphone, … bref, un logiciel espion comme celui que le FBI tente de bloquer à la suite de l’arrestation de plusieurs dizaines d’internautes, présumés pirates, de par le monde. Une usurpation d’identité de l’entreprise difficilement vérifiable pour les consommateurs, les données privées n’étant connues, normalement, que par la boutique et le propriétaire des dites informations.

Dans nos deux alertes, rien n’indique qu’un malveillant soit passé par là. Il aurait cependant était intéressant que les clients soient alertés par les « fuiteurs », histoire de palier à toutes tentatives d’escroquerie. Un peu de transparence dans ce genre de cas ne ferait pas de mal aux internautes. Faut-il rappeler que la divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende (art. 226-22 du code pénal).

Augmentation des fuites de données

Selon deux enquêtes commandées par IBM auprès de l’institut Ponemon, le coût moyen de la violation des données a augmenté de 15%, pour atteindre une moyenne de 3,5 millions de dollars. Les études indiquent également que les attaques ciblées sont considérées comme la plus grande menace par la majorité des entreprises. Leur coût est estimé à 9,4 millions de $ de perte en valeur intrinsèque pour la marque. Pour la France, le coût d’une violation de données est en moyenne de 4,19$ (2.88€). La France est le pays où la proportion des attaques ciblées est la plus forte. Des attaques qui sont les plus graves. Le taux d’érosion de clients suite à un incident de violation de données serait, toujours selon IBM, très fort en France. Pour finir, ZATAZ.COM rappelle l’article 34 de la loi Informatique et Libertés qui impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel. Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille d’une telle ampleur est découverte. Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Pingback: ZATAZ Magazine » La CNIL tape sur la souris de DHL… la belle affaire !

  2. Pingback: ZATAZ Magazine » Fuite de factures pour ELLIA et EBUZZING

  3. Pingback: ZATAZ Magazine » Rétro : 365 jours de protocoles d’alertes ZATAZ

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.