Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Fuites de données : Cybertek et Grosbill entrent dans la danse, Truffaut refuse de donner des détails

Il y a des semaines, comme ça…

Fuites de données : Cybertek et Grosbill entrent dans la danse, Truffaut refuse de donner des détails

Cybertek et Grosbill (qui appartiennent au même groupe) ont envoyé des emails à leurs clients pour les prévenir à leur tour d’une « tentative d'accès non autorisé » qui a pu compromettre « possiblement certaines données personnelles ». Pendant ce temps, Truffaut botte en touche sur nos questions.

Le 12 septembre à 18h06

Cybertek informe ses clients d’une « tentative d'accès »

La semaine est décidément marquée par des fuites de données à répétition. Boulanger, Cultura, DiviaMobilités, Truffaut et maintenant Cybertek. Le magasin spécialisé dans les composants informatiques use de circonvolutions :

« Nous tenons à vous alerter qu'une tentative d'accès non autorisé a récemment visé une partie de nos systèmes informatiques, compromettant possiblement certaines données personnelles de nos clients.
Les informations concernées incluent potentiellement des noms, prénoms, numéros de téléphone, adresses e-mail et postales ».

La société précise que « les mots de passe ou les informations bancaires » n’ont pas été compromis par cette « tentative d’accès ». Cybertek ne parle pas d’un prestataire externe, mais comme nous l’expliquions hier (via Zataz), cela pourrait être lié à une même affaire. Si c’est le cas, d’autres pourraient se joindre à la « fête ».

Grosbill lui emboite le pas

Même chose chez Grosbill (qui appartient à Cybertek, ce n’est donc pas surprenant que les deux communiquent en même temps), avec un message du même acabit, comme le rapporte SaxX. sur X. :

« Une tentative d’intrusion a ciblé une partie de nos systèmes informatiques, ce qui pourrait avoir compromis certaines informations personnelles de nos clients. Les données concernées incluent potentiellement des noms, prénoms, numéros de téléphone, ainsi que des adresses e-mail et postales ».

Là encore, aucune précision sur un éventuel partenaire externe mis en cause. Toujours selon SaxX. et Zataz, plus de 600 000 comptes seraient concernés. Ils se basent tous les deux sur les données publiées par les pirates, mais les chiffres ne correspondent pas à ceux avancés par les enseignes.

27 millions pour Boulanger selon le pirate, contre « quelques centaines de milliers de clients » pour le service presse, 2,6 millions chez Cultura, contre 1,5 million selon l’enseigne. Nous demanderons évidemment des précisions à Cybertek (et donc par ricochet à Grosbill).

Combien de clients concernés ? Truffaut botte en touche

De notre côté, nous avons contacté Truffaut pour avoir de plus amples détails et notamment connaître le nombre de clients affectés. Réponse pour le moins surprenante de l’intéressé : « Nous ne communiquons pas sur le chiffre. Il faudrait vous rapprocher de la CNIL ».

Surprenante, car la CNIL ne communique pas sur les affaires en cours, encore moins sur les détails. Et c’est d’ailleurs bien ce que nous répond le service presse de la Commission nationale de l'informatique et des libertés. Retour à l’envoyeur chez Truffaut, sans réponse cette fois-ci.

Voici le bilan (provisoire ?) :

  • Boulanger : « quelques centaines de milliers de clients »
  • Cultura : 1,5 million de clients
  • DiviaMobilités et Truffaut : pas de précision
  • Cybertek et Grosbill : en attente de précision

Commentaires (39)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Truffaut ne communique pas non plus aux clients concernés quelles informations personnelles les concernant ont été impactées.

Ce serait une obligation morale, mais la morale, on sait bien que tout le monde s'en fout.
Est-ce une obligation légale ?
votre avatar
L'article 34 du RGPD oblige à communiquer aux personnes concernées une violation de données.
votre avatar
Bref, c'est une obligation légale, mais les obligations légales on peut aussi s'en foutre, merci la CNIL (Comité National d'Inaction Léthargique)
votre avatar
Dans ce cas, peut-être que l'article 78 du RGPD peut valoir le coup d'être étudié.
votre avatar
Mais est ce qu'ils sont sensés savoir ce qu'il y avait dans le fichier en question si il n'est pas à eux ?
ou alors des probabilités de présence ?
votre avatar
Effectivement, en l'absence de respect de l'article 34, utiliser l'article 78 est très difficile. C'est au final du sabotage organisé par l'état.
votre avatar
Il n'oblige à communiquer que si la violation de données est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.

Il n'est pas évident que des données liées à la livraison entrent dans ce cas.
Il y a probablement nom, adresse et nro de tel. On est d'accord, ce n'est pas génial comme fuite mais est-ce un risque élevé pour les droits et libertés, j'ai du mal à le dire.

La CNIL peut leur imposer de communiquer si elle a un jugement différent sur le risque. Elle a probablement plus d'infos pour juger du risque mais le signalement est récent.

@Berbe : je tenterais plutôt le dpo pour demander les données qui sont sorties de chez eux avec l'article 15 (en le tordant un peu) en invoquant le b) du 1. Quelque part, cette fuite est un traitement chez eux (en fait leur sous-traitant, mais ils sont responsables) ou demander l'adresse du dpo du sous-traitant pour faire la même demande.
votre avatar
Non.
Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique
Le simple phishing (nom, prénom, adresse postal / mail) ne constitue malheureusement pas un risque élevé.
votre avatar
Apparemment CapGemini aussi aurait fait l'objet d'une cyberattaque (ça rappelle celle d'Altran peu avant qu'ils les rachètent). Mais dans l'immédiat ni confirmé ni démentie on dirait.

Edit :

Le journal La Croix aussi.
votre avatar
"tentative... possiblement... potentiellement..."

Sacrée langue de bois !

De plus c'est faux : "une tentative d'accès non autorisé"

Une infrastructure publique reçoit chaque jour des milliers de "tentatives d'accès non autorisé".

S'il y a fuite de données c'est qu'il y a eu plus que "tentative" ; il y a bel et bien eu un accès qu'ils auraient aimé être non autorisé mais qui a pu avoir lieu en passant outre les contraintes mises en place.

Il y a des trous dans la raquette côté sécurité mais aussi côté juridique.
votre avatar
C'est vrai qu'un pauvre petit serveur ssh sur internet port 22 en reçoit une centaine par heure des tentatives d'accès non autorisées.
votre avatar
Je n'ai reçu aucun mail de la part de Cultura malgré une commande il y a 4 ans (mon compte existe toujours)
votre avatar
Je suis concerné par la fuite de Sport 2000 (en avril, je crois) parce que j’ai reçu un spam sur l’adresse dédiée hier (je n’en avais pas eu avant sur cette adresse) mais je n’ai pas reçu de communication de Sport 2000 pour autant (et mon dernier achat chez eux a probablement plus de 8 ans !).
votre avatar
C'est bien, ça va pousser toutes ces sociétés (et leurs prestataires) à investir dans leur sécurité. Et à minimiser les données (à quoi sert de conserver l'adresse de livraison d'une commandé traitée il y a 5 ans ?).

Oui, je sais, je suis naïf... :craint:
votre avatar
Je suis d'accord avec toi sur la minimisation.
à quoi sert de conserver l'adresse de livraison d'une commandé traitée il y a 5 ans ?
Est-ce le cas ici ?
votre avatar
Je ne sais plus chez qui j'avais vérifié, entre toutes ces sociétés trouées. Mais oui l'une d'entre elle disait qu'elle conservait 5 ans les données de livraison.
votre avatar
À la limite, que la société chez qui tu achètes le fasse si ça correspond à un besoin, pourquoi pas (par exemple si le délai de prescription pour une absence de livraison était de 5 ans ou si c'est pour des raisons comptables comme preuve d'une dépense pour les impôts), mais la société qui fait la livraison (le sous-traitant du vendeur comme ici n'a aucune raison de garder les infos personnelles liées à la livraison aussi longtemps une fois celle-ci effectuée.)
votre avatar
C'est ça. Sauf que quand on exerce ses droits et qu'on demande la suppression (incluant les prestataires), on nous répond "intérêt légitime". C'est bien pratique, l'excuse qui marche à tous les coups.
votre avatar
L'intérêt légitime n'est pas un motif de refus de suppression des données personnelles :
le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel
De plus, la jurisprudence pour l'intérêt légitime est très restrictive sur ce qui entre dans ce cas. Ils doivent expliquer en quoi consiste leur intérêt légitime. Une plainte à la CNIL a toutes les chances d'invalider ce soit-disant intérêt légitime.
votre avatar
Et pourtant la CNIL a toujours anéfé / rejeté / clôturé mes plaintes, en disant "on a fait les gros yeux au DPO, le problème est réglé" (je résume). Mais la société en question continue...
votre avatar
Il ne faut pas confondre la base légale pour légitimer le traitement du droit d'accès, de modification et de suppression de ses propres données personnelles.

Un responsable de traitement ne peut refuser la suppression que dans 2 cas :
- s'il à l'obligation légale d'avoir ces données (ex. données de facturation, à conserver pendant 5 ans minimum)
- s'il peut avoir besoin de ces données pour se défendre, tant que les délais de prescription ne sont pas passés.

Et encore, il ne peut pas s'opposer à la suppression de toutes les données, seulement celles qui rentreraient dans une des deux catégories.
votre avatar
Je sais bien, ce n'est pas à moi qu'il faut l'expliquer, mais aux DPO qui répondent tout et surtout n'importe quoi.
votre avatar
Dans ce cas, 2 possibilités :
- soit tu réponds au DPO qu'il est dans l'erreur
- soit tu déposes une plainte auprès de la CNIL pour non respect de tes droits (comme tu as reçu une réponse du DPO, tu peux en théorie déposer plainte directement)
votre avatar
J'ai déposé la plainte. Mais je sais déjà que la CNIL me répondra qu'elle a informé la société en question, et que la plainte est close. Comme elle le fait à chaque fois ! Peu importe si la société se met en conformité ou pas, elle fait juste une alerte sans conséquence (il faut ouvrir une nouvelle plainte si elle ne s'y met pas, qui sera aussi clôturée sans réelle sanction).
votre avatar
Je pense qu'on a ici la preuve qu'il est beaucoup plus rentable, pour un pirate, de s'attaquer à un prestataire, et donc de récupérer les bases de données de plusieurs entreprises clientes à la fois (faire d'une pierre deux coups, et en l’occurrence plus que deux coups), plutôt que de s'attaquer directement à l'une de ces entreprises clientes en particulier.
votre avatar
Alors maintenant, imagine :

- Un CRM en SaaS
- Comptabilité en SaaS
- ITSM en SaaS
- IDP en SaaS
- ...

Ça laisse rêveur comme surface d'attaque.

Et c'est la réalité dans de nombreuses entreprises.
votre avatar
T’es pas prêt pour les SIRH en SaaS. La quantité de données personnelles qu’ils contiennent est sans commune mesure avec le reste.
votre avatar
D'où les "...", je savais aussi que les outils RH étaient en SaaS ;)

Et mon idée n'était pas que donnée personnelle mais aussi stratégique. Typiquement, un ITSM qui se fait voler ses données, c'est tous les problèmes du SI avec souvent des gens qui foutent des mots de passe dans les tickets (oui oui) qui partent. Bref, la cartographie du SI, tous ses bugs, ses failles, sur un plateau.

Un peu comme se faire poutrer son SAST quoi.
votre avatar
Oui oui je me doute. Mais pour avoir eu le nez dedans professionnellement, je trouve le cas très spécial : depuis je me chie dessus que ça puisse arriver parce que je n’ai jamais vu de ma vie des dossiers personnels aussi concentrés au même endroit. En qualité de données on est sur des trucs genre « nom, prénom, adresse, sécurité sociale, téléphone, idem pour le conjoint, enfants, rib, montant du salaire, contrat, scans de pleins de documents ( pièces d’identité, diplômes, certifications, titres de séjour…), évaluations pro … et j’en passe.

En ce qui me concerne et du peu que j’ai vu, j’ai pu constater une sécurité plutôt prise au sérieux, mais les données sont juste là dans des tables de bases de données, prêtes à être dumpées au premier arrivé. C’est flippant.
votre avatar
Et il faut aussi ajouter que dans beaucoup de cas ces sociétés externes proposent aussi des "coffre fort sécurisé" dans leur package où ils incident à conserver tous les documents "importants"...

Et si on parle de risque, j'imagine à peine un crack de docusign, parce que les contrats privés (salaire, conjoints, négociation privé etc.) c'est déjà vilain, mais j'imagine même pas les contrats "pro" entre deux entités avec les négociations de marge, les assurances et les pénalités, du pain bénis pour la concurrence...
votre avatar
Après il faut voir où on établi la limite sur la notion de prestataire.

Dans le monde professionnel, quasi toute entreprise est prestataire d'autres entreprises qui sont elle-mêmes prestataires d'autres entreprises...

Par exemple si quelqu'un attaque O365 pour récupérer des données, on considère que c'est Microsoft qui est visé ou les clients d'O365 ?

Sachant que par exemple une entreprise de nettoyage peut avoir Microsoft comme prestataire pour ses e-mails... tout en ayant Microsoft pour client, chez qui elle fait le ménage !

Et une fuite de données professionnelles est par nature bien plus dangereuse que des données personnelles car les possibilités d'actions sont bien plus grandes.

Pour rester sur l'exemple du phishing, récupérer l'accès à un ordinateur perso va te donner accès à une partie de la vie du propriétaire de la machine, tandis que faire de même sur une machine pro va te donner accès à une partie du SI de l'entreprise
votre avatar
La question n’est pas si importante que ça. Le responsable légal des données est celui qui les collecte ou donne l’ordre de les collecter. Si le prestataire responsable des newsletters de Boulanger se fait poutrer, prestataire choisi par une SSII embauchée par boulanger, cela reste Boulanger qui a décidé de collecter et utiliser ces données.

C’est comme si tu as un défaut dans ton appartement neuf: le responsable, pour toi, sera toujours le promoteur qui te l’a vendu même si le problème vient d’un mauvais travail fait par un type payé au black par un sous-sous-sous-traitant.
votre avatar
Le RGPD attend que les responsabilités entre le responsable du traitement et son sous-traitant soient définis dans la relation contractuelle.

Cette partie est définie par les article 28 et 29.

L'évaluation de cette relation fait, en principe, partie de la mission du DPO.
votre avatar
Je ne comprends pas qu'il n'y ait pas un BEA des données personnelles.
Un audit public de sociétés dès qu'un sinistre dépasse les X clients ou Y euros.
En mode Retex comme pour les moyens de transports, ça permet aussi une transparence vis à vis des victimes et un petit peu de name and shame.
Parce que actuellement c'est balec' total...
votre avatar
N'est-ce pas le rôle de l'ANSSI ? En tout cas, ça devrait.
votre avatar
Si ce prestataire externe est le même pour ces différences boites, il peut d'hors et déjà se préparer à mettre la clef sous la porte.
votre avatar
Cybertek n'ont pas notifié les clients B2B de cette fuite.
votre avatar
Le RGPD ne concerne que les personnes physiques. Qui dit B2B dit personne morale.

Mais ils auraient pu les informer s'ils l'avaient voulu.
votre avatar
Il peut arriver qu'ils aient des informations non pro, notamment dans le cadre de livraisons directes au client final. (Le fameux «dropshipping»).

La manie de vouloir un numéro de mobile et non un fixe fait qu'ils terminent avec des données bel et bien perso aussi.

Fuites de données : Cybertek et Grosbill entrent dans la danse, Truffaut refuse de donner des détails

  • Cybertek informe ses clients d’une « tentative d'accès »

  • Grosbill lui emboite le pas

  • Combien de clients concernés ? Truffaut botte en touche

Fermer