Début janvier, « Socialarks », une société chinoise a subi une énorme fuite des données : 214 millions de comptes Facebook, Instagram et LinkedIn ont été compromis. L’entreprise spécialisée dans la gestion des réseaux sociaux sur le territoire chinois détenait les données de plusieurs millions d’utilisateurs.
Toutefois, la situation n’est pas inédite. Précédemment, la Covid 19 a conduit à démultiplier les attaques en direction de plusieurs secteurs, dont celui de la santé particulièrement. Selon l’Agence nationale de la sécurité des systèmes d’information, « le nombre de victimes a ainsi été multiplié par quatre en un an ».
Ces derniers mois, l’augmentation du trafic sur Internet liée aux contraintes sanitaires a conduit des milliers d’internautes à utiliser les réseaux de manière plus intense et avec, une collecte accrue de la part des entreprises traitant les données. Ce traitement de masse a naturellement offert aux hackeurs un terrain alléchant, aux intentions parfois malveillantes. Les victimes les plus soucieuses de leur intérêt avaient pourtant renforcé leur mot de passe, mis des pare-feu pointant ainsi du doigt la responsabilité des entreprises en cause, qui de leur côté, ont parfois argué une faille dans leur système de sécurité quelque peu imprévisible.
Les données, l’or des hackeurs
Les conséquences du scandale Cambridge Analytica auraient pu laisser penser que les fuites des données soient plus contrôlées, voire se raréfient. Toutefois, l’augmentation du volume généré par les utilisateurs entraîne proportionnellement une augmentation spectaculaire de la fuite des données, ces dernières sont convoitées du fait de leur valeur exponentielle.
Les données personnelles sont la nouvelle devise de l’économie numérique Viviane Reding
Parmi les données les plus récoltées, on retrouve essentiellement des données mises à disposition des utilisateurs eux-mêmes sur leur compte personnel (noms, prénoms, éléments de l’identité numérique), mais également, un certain nombre de données dites sensibles (informations qui révèlent l’origine raciale, ethnique ; les opinions politiques, religieuses, philosophiques ou syndicales ; les données génétiques ; données de santé ou encore les données concernant la vie et l’orientation sexuelles).
Les utilisations les plus courantes des hackeurs sont leur emploi à des fins personnelles ou organisationnelles, la mise à disposition libre sur des réseaux, l’utilisation à des fins malveillante telle que la revente de ceux-ci.
Je n’ai rien à cacher
Une fuite des données correspond suivant le RGPD à une violation de la sécurité entrainant la destruction, la perte, l’altération, la divulgation voire l’accès non autorisé à des données à caractère personnel. Elle peut être accidentelle (perte d’une clef USB) ou malintentionnée (hacking). Lorsqu’un tel incident est constaté, l’une des plus grandes difficultés est d’établir après coup le « risque de préjudice » qui sera nécessaire pour la notification auprès de la CNIL.
De manière plus directe, la conséquence principale est d’abord financière pour le professionnel. Selon la société IBM, présente dans les domaines de l’informatique, le coût moyen de la violation de donnée est estimé à 3,6 millions d’euros en France pour 8,54 millions de dollars en Amérique. Cette somme s’explique généralement par la remise aux normes et le renforcement des systèmes de sécurité de la base de données. Le sentiment de panique lié à une telle perte entraîne un sentiment d’insécurité de la part de la clientèle qui va fuir le réseau entrainant avec lui une diminution du prix de l’action. L’appartenance et la confiance dans le système sont ainsi, biaisées.
Pour exemple, le scandale Cambridge Analytica en 2018 a eu pour conséquence : un cours de bourse en chute (8 milliards de dollars), une perte de confiance des utilisateurs de 40 % et à la suppression de millions de comptes entrainant une perte colossale des revenus publicitaires.
De surcroit, la fuite peut entraîner une paralysie générale des différents systèmes de la société. Récemment, les attaques en masse contre les hôpitaux (près de 400 attaques par jour) ont créé un retard dans le développement du vaccin Covid 19 et à la prise en charge des patients (l’administration des fichiers clients devenue impossible ou plus important encore, des écrans hors-service).
En dehors des conséquences liées à l’entreprise elle-même, ce sont les clients eux-mêmes qui peuvent craindre un préjudice important. Lorsqu’on demande à un individu quelle crainte, peut-il avoir à voir ses données fuitées ? Beaucoup répondent, encore, qu’ils n’ont rien à cacher et ainsi, rien à craindre. Pourtant, c’est parfois leur sécurité matérielle, morale ou encore corporelle qui est en jeu.
Quelques exemples de trouble qui peuvent exister :
Un préjudice matériel peut être constaté lorsque suite à une fuite des données, ce sont des données bancaires qui ont été usurpées (vol d’argent direct, achat en ligne de produits ou service voir, la revente de ceux-ci). En août 2019, 419 millions de comptes Facebook qui ont vu leurs données dérobées (numéro de téléphone, nom, prénom, adresse, intérêt personnel), le 27 janvier 2021, 530 millions de numéros de téléphone ont été mis en vente sur « Telegram » a environ 20 $ pièces, dans un objectif sans doute de phishing par SMS.
Par ailleurs, le préjudice peut devenir plus profond et ainsi plus psychologique par le sentiment de panique et d’insécurité que le vol génère. Dans certaines affaires, la tranquillité des titulaires des données s’est vue mise à mal (envois insistants de mail, sms, usurpation d’identité conduisant à des contentieux lourds, interdit bancaire, procédure de liquidation judiciaire).
Ainsi, les enjeux sont lourds et conséquents d’une mauvaise sécurisation des données. Mais est-ce vraiment toujours la faute des hackers ? Ne sommes-nous tous pas responsable autant les entreprises que les utilisateurs de nos données ?
Comment peut-on agir ?
Depuis l’entrée en vigueur en 2018 du règlement sur les données personnelles de 2016, la protection des données numériques est devenue un objectif majeur de la vie démocratique. Suivant l’article 32 du RGPD, les entreprises doivent tout mettre en œuvre pour assurer la sécurité du traitement. La sécurité parfaite n’existant pas, le règlement n’impose pas une obligation de résultat, mais de prouver que la société a pris toutes les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque sous peine de sanction.
En assurant des moyens de sécurité comme par exemple la pseudonymisation, le chiffrement.
En assurant des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement. En outre, lorsqu’un incident est constaté, l’entreprise doit le notifier à la CNIL dans le cas où il existerait un risque pour le droit des personnes concernées sous 48 à 72 heures (article 33 et 34 du même règlement).
- Pour aider les professionnels dans la mise en conformité à la loi, la CNIL propose sur son site internet un guide de sécurité des données. Ainsi, en amont, quelques précautions peuvent être prises comme authentifier les utilisateurs, les sensibiliser, gérer les habilitations, sécuriser les postes de travail et les réseaux utilisés, archiver régulièrement…
Également, il est nécessaire de procéder à des évaluations régulières pour s’assurer du bon fonctionnement de sa sécurité.
Enfin, la responsabilisation de tous les services, y compris ceux qui ne traitent pas de la donnée (l’ingénieur, les salariés, les agents administratifs, etc.)
- Pour les utilisateurs, il faut prendre conscience de l’importance des données, l’identité numérique est généralement la même identité que celle physique. Il est important de choisir des mots de passe complexes à plusieurs niveaux d’authentification, de limiter la quantité de données générées, vérifier régulièrement ce qui se dit de nous sur le web via des moteurs de recherche ou sites spécialisés, demander la portabilité des données aux réseaux utilisés voir, de supprimer régulièrement quelques informations pour limiter la collecte de ceux-ci.
Les fuites des données sont un problème récurrent, si dans la plupart des cas elle n’a pas de conséquence, les quelques fois restantes restent un risque qu’il est nécessaire de neutraliser le plus tôt possible.
SOURCES:
- CAUSIT (C.), « Covid-19 : comment les cybercriminels cherchent à profiter de la pandémie », Franceinfo, 13/01/2021
- BASTIEN (L.), « Données : 945 fuites répertoriées au 1er semestre 2018 selon Gemalto », Le big data, 10 octobre 2018
- BASTIEN (L.), « Fuites de données : top 10 des plus gros « Data Leaks » de 2018 », Le big data, 18 décembre 2018
- IVALDI (M.), « De l’importance de la valeur de nos données », La tribune, 22 janvier 2020
- CHARTIER (M.), « Grosse fuite de données personnelles : 215 millions de comptes concernés, dont 810 000 en France », Les numériques, 12 janvier 2021
- HUE (B.), « fuite Facebook 20 millions de numéros de téléphone français à vendre quel risque pour vos données » , RTL, 27 janvier 2021
- « 2018 Cost of a Data Breach Study : Global Overview, sponsored by IBM Security. Independently conductedby Ponemon Institute LLC», IBM
- « Guide de la sécurité des données personnelles », CNIL
- Art. 32, Rectificatif au règlement (UE) 2016/679 JOUE L127 2 du 23/05/2018, CNIL
- Art. 33, Rectificatif au règlement (UE) 2016/679 JOUE L127 2 du 23/05/2018, CNIL
- Art. 34, Rectificatif au règlement (UE) 2016/679 JOUE L127 2 du 23/05/2018, CNIL
- Art. 83 5°, Rectificatif au règlement (UE) 2016/679 JOUE L127 2 du 23/05/2018, CNIL