Cybertek et Grosbill (qui appartiennent au même groupe) ont envoyé des emails à leurs clients pour les prévenir à leur tour d’une « tentative d'accès non autorisé » qui a pu compromettre « possiblement certaines données personnelles ». Pendant ce temps, Truffaut botte en touche sur nos questions.
Cybertek informe ses clients d’une « tentative d'accès »
La semaine est décidément marquée par des fuites de données à répétition. Boulanger, Cultura, DiviaMobilités, Truffaut et maintenant Cybertek. Le magasin spécialisé dans les composants informatiques use de circonvolutions :
« Nous tenons à vous alerter qu'une tentative d'accès non autorisé a récemment visé une partie de nos systèmes informatiques, compromettant possiblement certaines données personnelles de nos clients.
Les informations concernées incluent potentiellement des noms, prénoms, numéros de téléphone, adresses e-mail et postales ».
La société précise que « les mots de passe ou les informations bancaires » n’ont pas été compromis par cette « tentative d’accès ». Cybertek ne parle pas d’un prestataire externe, mais comme nous l’expliquions hier (via Zataz), cela pourrait être lié à une même affaire. Si c’est le cas, d’autres pourraient se joindre à la « fête ».
Grosbill lui emboite le pas
Même chose chez Grosbill (qui appartient à Cybertek, ce n’est donc pas surprenant que les deux communiquent en même temps), avec un message du même acabit, comme le rapporte SaxX. sur X. :
« Une tentative d’intrusion a ciblé une partie de nos systèmes informatiques, ce qui pourrait avoir compromis certaines informations personnelles de nos clients. Les données concernées incluent potentiellement des noms, prénoms, numéros de téléphone, ainsi que des adresses e-mail et postales ».
Là encore, aucune précision sur un éventuel partenaire externe mis en cause. Toujours selon SaxX. et Zataz, plus de 600 000 comptes seraient concernés. Ils se basent tous les deux sur les données publiées par les pirates, mais les chiffres ne correspondent pas à ceux avancés par les enseignes.
27 millions pour Boulanger selon le pirate, contre « quelques centaines de milliers de clients » pour le service presse, 2,6 millions chez Cultura, contre 1,5 million selon l’enseigne. Nous demanderons évidemment des précisions à Cybertek (et donc par ricochet à Grosbill).
Combien de clients concernés ? Truffaut botte en touche
De notre côté, nous avons contacté Truffaut pour avoir de plus amples détails et notamment connaître le nombre de clients affectés. Réponse pour le moins surprenante de l’intéressé : « Nous ne communiquons pas sur le chiffre. Il faudrait vous rapprocher de la CNIL ».
Surprenante, car la CNIL ne communique pas sur les affaires en cours, encore moins sur les détails. Et c’est d’ailleurs bien ce que nous répond le service presse de la Commission nationale de l'informatique et des libertés. Retour à l’envoyeur chez Truffaut, sans réponse cette fois-ci.
Voici le bilan (provisoire ?) :
- Boulanger : « quelques centaines de milliers de clients »
- Cultura : 1,5 million de clients
- DiviaMobilités et Truffaut : pas de précision
- Cybertek et Grosbill : en attente de précision
Commentaires (39)
#1
Ce serait une obligation morale, mais la morale, on sait bien que tout le monde s'en fout.
Est-ce une obligation légale ?
#1.1
#1.2
#1.3
#1.4
ou alors des probabilités de présence ?
#1.5
#1.6
Il n'est pas évident que des données liées à la livraison entrent dans ce cas.
Il y a probablement nom, adresse et nro de tel. On est d'accord, ce n'est pas génial comme fuite mais est-ce un risque élevé pour les droits et libertés, j'ai du mal à le dire.
La CNIL peut leur imposer de communiquer si elle a un jugement différent sur le risque. Elle a probablement plus d'infos pour juger du risque mais le signalement est récent.
@Berbe : je tenterais plutôt le dpo pour demander les données qui sont sorties de chez eux avec l'article 15 (en le tordant un peu) en invoquant le b) du 1. Quelque part, cette fuite est un traitement chez eux (en fait leur sous-traitant, mais ils sont responsables) ou demander l'adresse du dpo du sous-traitant pour faire la même demande.
#1.7
Le simple phishing (nom, prénom, adresse postal / mail) ne constitue malheureusement pas un risque élevé.
#2
Edit :
Le journal La Croix aussi.
Historique des modifications :
Posté le 12/09/2024 à 18h50
Apparemment CapGemini aussi aurait fait l'objet d'une cyberattaque (ça rappelle celle d'Altran peu avant qu'ils les rachètent). Mais dans l'immédiat ni confirmé ni démentie on dirait.
#3
Sacrée langue de bois !
De plus c'est faux : "une tentative d'accès non autorisé"
Une infrastructure publique reçoit chaque jour des milliers de "tentatives d'accès non autorisé".
S'il y a fuite de données c'est qu'il y a eu plus que "tentative" ; il y a bel et bien eu un accès qu'ils auraient aimé être non autorisé mais qui a pu avoir lieu en passant outre les contraintes mises en place.
Il y a des trous dans la raquette côté sécurité mais aussi côté juridique.
#3.1
#4
#4.1
Historique des modifications :
Posté le 12/09/2024 à 19h10
Je suis concerné par la fuite de Sport 2000 (en avril, je crois) parce que j’ai reçu un spam sur l’adresse dédiée hier (je n’en avais pas eu avant sur cette adresse) mais je n’ai pas reçu de communication de Sport 2000 pour autant (et mon dernier achat chez eux à probablement plus de 8 ans !).
#5
Oui, je sais, je suis naïf...
#5.1
Est-ce le cas ici ?
#5.2
#5.3
#5.4
#5.5
De plus, la jurisprudence pour l'intérêt légitime est très restrictive sur ce qui entre dans ce cas. Ils doivent expliquer en quoi consiste leur intérêt légitime. Une plainte à la CNIL a toutes les chances d'invalider ce soit-disant intérêt légitime.
#5.7
#5.6
Un responsable de traitement ne peut refuser la suppression que dans 2 cas :
- s'il à l'obligation légale d'avoir ces données (ex. données de facturation, à conserver pendant 5 ans minimum)
- s'il peut avoir besoin de ces données pour se défendre, tant que les délais de prescription ne sont pas passés.
Et encore, il ne peut pas s'opposer à la suppression de toutes les données, seulement celles qui rentreraient dans une des deux catégories.
#5.8
#5.9
- soit tu réponds au DPO qu'il est dans l'erreur
- soit tu déposes une plainte auprès de la CNIL pour non respect de tes droits (comme tu as reçu une réponse du DPO, tu peux en théorie déposer plainte directement)
#5.10
#6
Historique des modifications :
Posté le 12/09/2024 à 20h08
Je pense qu'on a ici la preuve qu'il est beaucoup plus rentable pour un pirate de s'attaquer à un prestataire, et donc de récupérer les bases de données de plusieurs entreprises clientes (faire d'une pierre deux coups, et en l’occurrence plus que deux coups) à la fois, plutôt que de s'attaquer directement à une entreprise en particulier.
Posté le 12/09/2024 à 20h09
Je pense qu'on a ici la preuve qu'il est beaucoup plus rentable pour un pirate de s'attaquer à un prestataire, et donc de récupérer les bases de données de plusieurs entreprises clientes à la fois (faire d'une pierre deux coups, et en l’occurrence plus que deux coups), plutôt que de s'attaquer directement à une entreprise en particulier.
Posté le 12/09/2024 à 20h12
Je pense qu'on a ici la preuve qu'il est beaucoup plus rentable pour un pirate de s'attaquer à un prestataire, et donc de récupérer les bases de données de plusieurs entreprises clientes à la fois (faire d'une pierre deux coups, et en l’occurrence plus que deux coups), plutôt que de s'attaquer directement à l'une de ces entreprises en particulier.
Posté le 12/09/2024 à 20h12
Je pense qu'on a ici la preuve qu'il est beaucoup plus rentable pour un pirate de s'attaquer à un prestataire, et donc de récupérer les bases de données de plusieurs entreprises clientes à la fois (faire d'une pierre deux coups, et en l’occurrence plus que deux coups), plutôt que de s'attaquer directement à l'une de ces entreprises clientes en particulier.
#6.1
- Un CRM en SaaS
- Comptabilité en SaaS
- ITSM en SaaS
- IDP en SaaS
- ...
Ça laisse rêveur comme surface d'attaque.
Et c'est la réalité dans de nombreuses entreprises.
Historique des modifications :
Posté le 12/09/2024 à 20h45
Alors maintenant, imagine :
- Un CRM en SaaS
- Comptabilité en SaaS
- ITSM en SaaS
- IDP en SaaS
- ...
Ça laisse rêveur comme surface d'attaque.
#6.3
#6.4
Et mon idée n'était pas que donnée personnelle mais aussi stratégique. Typiquement, un ITSM qui se fait voler ses données, c'est tous les problèmes du SI avec souvent des gens qui foutent des mots de passe dans les tickets (oui oui) qui partent. Bref, la cartographie du SI, tous ses bugs, ses failles, sur un plateau.
Un peu comme se faire poutrer son SAST quoi.
#6.7
En ce qui me concerne et du peu que j’ai vu, j’ai pu constater une sécurité plutôt prise au sérieux, mais les données sont juste là dans des tables de bases de données, prêtes à être dumpées au premier arrivé. C’est flippant.
#6.8
Et si on parle de risque, j'imagine à peine un crack de docusign, parce que les contrats privés (salaire, conjoints, négociation privé etc.) c'est déjà vilain, mais j'imagine même pas les contrats "pro" entre deux entités avec les négociations de marge, les assurances et les pénalités, du pain bénis pour la concurrence...
#6.2
Dans le monde professionnel, quasi toute entreprise est prestataire d'autres entreprises qui sont elle-mêmes prestataires d'autres entreprises...
Par exemple si quelqu'un attaque O365 pour récupérer des données, on considère que c'est Microsoft qui est visé ou les clients d'O365 ?
Sachant que par exemple une entreprise de nettoyage peut avoir Microsoft comme prestataire pour ses e-mails... tout en ayant Microsoft pour client, chez qui elle fait le ménage !
Et une fuite de données professionnelles est par nature bien plus dangereuse que des données personnelles car les possibilités d'actions sont bien plus grandes.
Pour rester sur l'exemple du phishing, récupérer l'accès à un ordinateur perso va te donner accès à une partie de la vie du propriétaire de la machine, tandis que faire de même sur une machine pro va te donner accès à une partie du SI de l'entreprise
#6.5
C’est comme si tu as un défaut dans ton appartement neuf: le responsable, pour toi, sera toujours le promoteur qui te l’a vendu même si le problème vient d’un mauvais travail fait par un type payé au black par un sous-sous-sous-traitant.
#6.6
Cette partie est définie par les article 28 et 29.
L'évaluation de cette relation fait, en principe, partie de la mission du DPO.
#7
Un audit public de sociétés dès qu'un sinistre dépasse les X clients ou Y euros.
En mode Retex comme pour les moyens de transports, ça permet aussi une transparence vis à vis des victimes et un petit peu de name and shame.
Parce que actuellement c'est balec' total...
#7.1
#8
#9
#9.1
Mais ils auraient pu les informer s'ils l'avaient voulu.
#9.2
La manie de vouloir un numéro de mobile et non un fixe fait qu'ils terminent avec des données bel et bien perso aussi.