Depuis la mise en vigueur du RGPD, le 25 mai 2018, les organismes victimes d'un piratage sont obligés d'en informer la CNIL lorsque le vol porte sur des données à caractère personnel et ceci sous un délai de 72 heures. Cela concerne les organismes établis sur le territoire de l'Union européenne mais aussi ceux dont l'activité cible les résidents européens.
Ils sont également obligés d'informer individuellement les personnes dont les données personnelles ont été détournées lorsque le risque est élevé (à apprécier selon la confidentialité des données, leur sensibilité, les conséquences possibles, le volume de données...).
La notification des personnes concernées doit présenter, au minimum :
Ces éléments sont précisés dans les articles 33 et 34 du RGPD.
L'année 2024 est particulièrement prolifique puisque plusieurs grands acteurs ont annoncé que leurs systèmes avaient subis des violations. Parmi ceux-ci, citons-en quelques-uns, afin d'analyser leurs communications.
D'après la CAF, 4 comptes avaient été volés. Les pirates en revendiquaient 600.000. Finalement, la CAF se ravise et annonce que des milliers de comptes sont concernés, et impose le changement des mots de passe pour tous les allocataires, tout en rappelant qu'il n'y a aucune faille sur le site caf.fr.
Quelques mois plus tard, en août, un nouveau piratage des données impliquant 60.000 personnes est annoncé.
43 millions de comptes portant sur les données des demandeurs d'emploi ont été récupérés : numéros de sécurité sociale, adresses postales et courriels, téléphones...
Boulanger : "quelques centaines de milliers de comptes" volés, Cultura : 1,5 millions de comptes.
50.000 utilisateurs concernés par le vol de leurs coordonnées, offres souscrites, numéros de carte SIM, IBAN...
Pour Free c'est 19 millions de comptes clients, avec des données à jour sur les noms et prénoms, adresses postales, courriels, IBAN, type d'abonnement...
Auchan se fait voler les données "de quelques milliers de clients" : nom, prénom, email, adresse, téléphone, composition familiale, date de naissance, numéro de carte fidélité, montant de la cagnotte.
Il y a plusieurs éléments très gênants dans ces différentes communications :
Que vous soyez ou non concernés par ces vols, il convient surtout de toujours être méfiant face aux emails reçus et de ne jamais cliquer sur les liens proposés par quelque organisme que ce soit. Il est tellement facile :
Il ne reste plus qu'à attendre que les clients entrent leurs identifiants sur le faux site, à les mémoriser, et à les rediriger vers le vrai site pour ce soit quasiment transparent pour les futures victimes.
Bref, "vigilance constante", comme la devise du personnage Alastor Maugrey dans Harry Potter.
Petite anecdote |
---|
En tant que client OVH, je reçois des emails lors du renouvèlement du nom de domaine ou de la machine. Depuis quelques temps, beaucoup de clients comme moi recevons de faux emails, ressemblant en tout point à ceux d'OVH. La parade qu'a trouvé OVH est de faire figurer dans l'email l'identifiant client. Donc, pour savoir si un email provient bien d'OVH, il faut vérifier si l'identifiant client est non présent ou incorrect dans l'email... C'est assez précaire, d'autant plus que si on a une messagerie chez OVH, ils devraient être en mesure de bloquer ces faux emails directement ! Le site annonce 3 méthodes de vérification. La 1 et la 3 sont contournables facilement et la 2ème ne le sera plus si la base client est piratée. |
RSS | Informations |