Quels sont les risques qu’ils ne divulguent pas ?

Vol de données de 800’000 clients de Swisscom

Vol de données de 800’000 clients de Swisscom : Quels sont les risques qu’ils ne divulguent pas ?

La Suisse n’est pas épargnée, et ce type de vol n’arrive pas qu’aux autres. Il est important de rappeler que le nombre de cas de piratage de données continue d’augmenter et que l’affaire Swisscom ne représente qu’un événement modeste par rapport aux milliards de données personnelles compromises via les comptes de Yahoo, MySpace, Ebay, LinkedIn, Dropbox.

En tant que client ou utilisateur, devons-nous nous inquiéter, car les données volées à Swisscom ne sont pas considérées comme sensibles ? La réponse est malheureusement oui, puisque les numéros de téléphone et les noms volés sont maintenant très probablement accessibles sur le réseau noir. Ils attirent la convoitise d’une multitude d’acteurs malveillants qui sont prêts à les exploiter à des fins illicites.

(La vidéo ne démarre pas ? Il y a un problème avec le streaming de la RTS.
Solution : après avoir cliqué sur « play », cliquez sur la timeline, juste à droite du point, disons à 0:02, et la vidéo sera diffusée normalement.)

Jeff Primus, PDG d’ACTAGIS, a été interviewé à ce sujet lors du « 19h30 » de la RTS le 7 février 2018.

Les risques liés à ce type de vol de données sont loin d’être négligeables et ne se limitent pas à la réception d’appels publicitaires non désirés. En réalité, plusieurs scénarios d’attaques restent tout à fait possibles. Par exemple, en utilisant des méthodes de « social engineering », il est très facile pour une entité malveillante d’utiliser les données volées pour obtenir subtilement d’autres informations plus sensibles. Dans d’autres cas, l’attaquant pourra exploiter les données volées en utilisant une application de messagerie ou de téléphonie IP, afin de découvrir les vulnérabilités des utilisateurs.

En dévoilant, début février 2018, qu’elle a été victime d’un piratage des informations de ses clients fin 2017, Swisscom est probablement en tête de liste pour ce type d’incident en Suisse. Alors pourquoi Swisscom a-t-elle attendu 4 mois avant d’annoncer ces faits au grand public ? Jusqu’à présent, nous n’avons pas d’explication satisfaisante de la part de Swisscom, mais nous pensons qu’ils auraient dû avertir les victimes de ce piratage sans attendre aussi longtemps.

Avec la nouvelle loi européenne GDPR (General Data Protection) et la loi suisse sur la protection des données, la situation des entreprises suisses pourrait rapidement changer. Par exemple, la GDPR exigera des entreprises suisses qui traitent des données de citoyens européens qu’elles appliquent des mesures de sécurité préventives, de détection et de correction et qu’elles annoncent rapidement ce type d’incident aux parties prenantes.

En cas d’infraction à la réglementation, l’entreprise en question pourrait payer une amende pouvant aller jusqu’à 4 % de ses revenus internationaux. Cela devrait faire réfléchir les entreprises, si elles n’ont pas encore trouvé la motivation nécessaire pour consacrer un budget de sécurité raisonnable aux produits et services qu’elles offrent à leurs clients.