Les noms et adresses de 363 770 résidents du département de la Haute-Garonne ont connus récemment un piratage. Les serveurs visés ont été ceux d’une société locale. Ce sont les gendarmes du web qui ont été alerté. Or, le fichier est en circulation sur le web depuis déjà pas mal de temps. Découvrons tout ce qu’il y a à savoir sur cette affaire.
Haute-Garonne : des données personnelles d’habitants sur le dark web
Les informations personnelles de 363 770 personnes résidant dans le département de la Haute-Garonne sont donc en libre circulation sur le dark web. Si vous ne connaissez pas ce terme, sachez qu’il s’agit du réseau internet parallèle. Sur ce dernier, on peut dénicher les données personnelles des individus de ce département (cela étant notamment les noms, prénoms ainsi que numéros de téléphone). Le fichier, intégrant notamment des noms de personnalités et de VIP, a déjà été échangé une multitude de fois depuis son apparition sur le web. Sa découverte a été effectuée par des des ingénieurs de l’entreprise toulousaine I Trust, experte dans la sécurité informatique.
Dans ce fichier, on trouve par exemple les informations personnelles (noms ainsi qu’adresses) d’élus de premier rang. Des hauts dirigeants d’Airbus sont aussi présents. Une fois ce dernier découvert, le groupe I Trust a alerté l’Agence nationale de la sécurité des systèmes d’information afin que la fuite de ses renseignements se stoppe. Cette société a également tenté de prévenir le groupe ayant subi le piratage puisque son serveur n’est visiblement pas assez sûr. Or, I Trust n’y est pas arrivé.
Entreprise Distrix : les informations hébergées chez un prestataire
L’entreprise qui a connu le piratage se nomme Distrix. Cette dernière est présente à Toulouse. Elle est experte dans le déroulement de campagnes de distributions de flyers et de prospectus. Le dirigeant du groupe a affirmé avoir découvert cette fuite d’informations via un article sur le web. L’hébergement de ces renseignements est effectué chez un prestataire louant la plateforme digitale. Le chef de la société piraté a déclaré que le groupe n’était qu’un simple utilisateur de la solution louée chaque mois. Le dirigeant a contacté le prestataire après la lecture de l’article afin que ce dernier agisse le plus vite possible.
La jeune PME, experte dans la distribution d’imprimés en boîtes aux lettres, a donné un cahier des charges technique à son prestataire sans avoir connaissance du seuil de protection des informations ainsi hébergées. Le dirigeant de Distrix a affirmé qu’il est essentiel d’agir rapidement dans ce genre de fichiers, surtout que le fichier concerné était facilement accessible sur leur serveur. Ce problème de sécurité est aussi un sérieux avertissement pour les particuliers par rapport aux dispositions devant être prises avant de fournir leurs renseignements personnels. Cela doit être fait auprès d’un tiers de confiance.
Le danger d’une énorme amende
L’ANSSI, service lié au secrétaire général de la défense et de la sécurité nationale, envoie incessamment des alertes aux sociétés sur l’importance d’une protection sans failles des renseignements sensibles des clients, contacts, prospects ainsi que partenaires commerciaux. Le Règlement général sur la protection des données donne l’obligation aux hébergeurs de protéger les données personnelles. Le risque ? Une amende pouvant grimper jusqu’à une note salée de vingt millions d’euros ou 4 % du chiffre d’affaires de la société.
Après des cyberattaques sur les établissements de santé, la fuite de dossiers médicaux provenant de laboratoires d’analyses (survenue il y a peu), on observe qu’une multitude de sociétés n’offrent pas une assez bonne protection de leurs informations personnelles. Ainsi, cela permet aux hackers d’avoir une véritable porte d’accès à disposition. Mieux vaut prévenir que guérir !