Vol de données de 800’000 clients de Swisscom

12févAll DayVol de données de 800’000 clients de Swisscom

Event Details

Quels sont les risques que l’on ne nous dévoile pas ?

La Suisse n’est pas épargnée, et ce type de vol n’arrive pas qu’aux autres. Il est important de se rappeler que le nombre de cas de piratage de données ne cesse d’augmenter et que le cas de Swisscom ne représente qu’un événement modeste par rapport aux milliards de données personnelles compromises via les comptes de Yahoo, MySpace, Ebay, LinkedIn, Dropbox.

En tant que client ou utilisateur, doit-on s’inquiéter, puisque les données volées dans le cadre de Swisscom ne sont pas considérées comme sensibles ? La réponse est malheureusement oui, puisque les numéros de téléphone ainsi que les noms volés sont à présent très probablement accessibles sur le darknet et qu’ils attirent la convoitise d’une multitude d’acteurs malveillants qui sont prêts à les exploiter à des fins illicites.

(La vidéo ne démarre pas? Il y a un problème avec le streaming de la RTS.
Solution: après avoir cliqué sur la flèche, cliquez sur la ligne du temps, juste à droite du point, à 0:02, par exemple, et la vidéo jouera normalement.)

Jeff Primus, CEO d’ACTAGIS, a été interviewé à ce sujet pour le « 19h30 » de la RTS le 7 février 2018.

Les risques liés à ce type de vol de données sont loin d’être négligeables et ne se limitent pas uniquement à la réception des appels publicitaires non désirés. En réalité, plusieurs scénarii d’attaques restent tout à fait possibles. Par exemple, grâce à des méthodes du type « social engineering », il est très aisé pour une entité malveillante d’utiliser les données dérobées afin d’obtenir subtilement d’autres informations plus sensibles. Dans d’autres cas de figure, l’attaquant pourra exploiter les données volées en utilisant une application de messagerie ou de téléphonie IP, afin de découvrir les vulnérabilités des usagers.

En dévoilant, début février 2018, avoir été victime en fin 2017 d’un piratage des informations de ses clients, Swisscom se positionne probablement en tête de classement pour ce type d’incidents survenus en Suisse. Alors, quelle est la raison pour laquelle Swisscom a attendu 4 mois avant d’annoncer ces faits au grand public ? À ce jour, nous n’avons pas d’explication satisfaisante de la part de Swisscom, mais nous pensons qu’ils auraient dû avertir les victimes de ce piratage sans trop tarder.

Avec la nouvelle loi européenne RPGD (Règlement Générale sur la Protection des Données) et la loi suisse LPD (Loi Protection des données), l’équation pour les entreprises suisses pourrait rapidement changer. Par exemple, le RPGD obligera les entreprises suisses traitant les données des citoyens européens d’appliquer des mesures de sécurité préventives, détectives, correctives et d’annoncer rapidement ce type incident aux parties prenantes.

En cas de violation du règlement, l’entreprise en question devrait payer une amende pouvant aller jusqu’à 4% du chiffre d’affaires au niveau international. De quoi faire sérieusement réfléchir les entreprises qui ne trouvent pas de motivation pour consacrer un budget de sécurité raisonnable pour les produits et services qu’ils proposent à leurs clients.

©2018 Jeff Primus, ACTAGIS

Horaire

février 12 (lundi) 00:00 - février 12 (lundi) 23:59(GMT+01:00)