Avis s’est aussi fait pirater des données personnelles, mais également bancaires

Faut arrêter avec l’open data !

Après les États-Unis la semaine dernière, Avis informe ses clients français d’une fuite de données les concernant. En plus des informations personnelles « traditionnelles » on retrouve des données bancaires avec le « numéro de carte de crédit et/ou date d’expiration ».

Sébastien Gavois

Le 16 septembre à 12h41

4 min

Sécurité

La semaine dernière, plusieurs entreprises ont annoncé à tour de rôle avoir été victime d’une cyberattaque ayant entraîné le vol de de données personnelles : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill ainsi que Assurance Retraite. Plusieurs mettent en cause un prestataire externe, mais sans en donner le nom.

Truffaut se « démarque » car l’entreprise ne détaille pas les données personnelles concernées et refuse de nous préciser combien de clients sont concernés.

Un accès non autorisé entre les 3 et 6 août 2024

Voilà qu’une autre entreprise vient se joindre à la fête : Avis. Dans un email envoyé ce week-end à certains clients (dont nous avons eu une copie), le loueur de voiture explique avoir « découvert le 5 août 2024 (heure de l’Est) qu’un tiers non autorisé avait accédé à l’une de nos applications professionnelles […] Sur la base de notre enquête, nous avons déterminé que l’accès non autorisé a eu lieu entre le 3 août 2024 et le 6 août 2024 (heure de l’Est) ». L’accès non autorisé a évidemment été coupé.

Avis détaille l’étendue des dégâts : « Nous avons constaté le 14 août 2024 que le tiers non autorisé avait obtenu vos données à caractère personnel, à savoir votre nom et votre Adresse postale, Numéro de téléphone, et Numéro de carte de crédit et/ou date d’expiration ».

Le code CVV ne fait visiblement pas partie de la fuite, une « bonne » nouvelle. Mais comme toujours, soyez prudent et vérifiez vos relevés de compte. Dans les précédentes fuites, les données bancaires n’étaient pas de la partie, sauf chez DiviaMobilités avec l’IBAN.

Quels risques pose une fuite de données bancaires ?

Avis « offre » un an d'accès à l'outil Equifax WebDefend

Avis annonce dans son email que le client peut s’inscrire « au service de surveillance de l’identité que nous vous proposons, à savoir un abonnement gratuit d’un an à Equifax WebDefend ». Il faut s’inscrire avant le 31 décembre 2024 pour bénéficier de ce service, via un « code promotionnel unique » donné dans l’email (en annexe, en dessous du message principal).

Cet outil propose deux approches : « L’analyse Internet Equifax WebDetect vous avertit si vos informations se trouvent sur des sites Web utilisés par des fraudeurs » et « Social Scan recherche les sites de réseaux sociaux et signale les risques de fraude liés aux informations que vous pourriez partager ».

300 000 clients aux États-Unis

La fuite d’Avis date donc du mois d’août, mais la société avait déjà prévenu ses clients et les autorités aux États-Unis. On trouve d’ailleurs un bulletin d’alerte sur le site du procureur général de Californie et celui du Maine depuis le début du mois. Il est question d’une fuite sur 299 006 clients.

Nous avons contacté Avis pour savoir pourquoi il y avait une telle latence entre les clients aux États-Unis et ceux en France ? En effet, un des clients d’Avis ayant reçu l’email nous confirme avoir « été client en France uniquement ». Nous avons également demandé combien de personnes en France étaient concernées.

Pour rappel, une société américaine – Slim CD, une plateforme de paiement en ligne – a également été victime d’une fuite de données, là encore avec nom, adresse de clients mais aussi numéro de carte de crédit et date d'expiration. Les deux vols ne sont a priori pas liés puisque dans le cas de Slim CD les pirates ont pu consulter et obtenir les informations entre le 14 et le 15 juin 2024.

Commentaires (16)

ecatomb Abonné

Le 16/09/2024 à 12h51

Je ne vois pas trop l'intérêt de "Equifax WebDetect".
Vu que la fuite de donnée comporte des données bancaires, c'est certain qu'elles vont être exploitée pour frauder.

Dans ce cas, qu'elle est l'intérêt de savoir que c'est déjà exploité ou non ?
Il faut de suite contacter sa banque pour avoir une nouvelle carte et autre. Ensuite, le reste n'a plus trop d'importance vu qu'on ne pourra rien changer à par déménager

Nozalys Abonné

Le 16/09/2024 à 13h15

C'est vrai, et en même temps, pour une fois que le service qui s'est fait pirater prend la notion de dédommagement au sérieux, on ne va pas cracher dans la soupe.

ecatomb Abonné

Le 16/09/2024 à 13h40

En effet.

C'est toujours bon à prendre et bien mieux que les autres niveau réponse.
Mais le fait que les données bancaires soient touchées est sans doute une des raisons principales de ce "dédommagement".

Baldurien Abonné

Modifié le 16/09/2024 à 14h36

Il faut de suite contacter sa banque pour avoir une nouvelle carte et autre aux frais d'Avis. Ensuite, le reste n'a plus trop d'importance vu qu'on ne pourra rien changer à par déménager

Faudrait pas non plus que les clients victimes paient...
Surtout que bon, pourquoi ont-ils stockés ces données ? Et comment ? En clair ? Chiffrées avec une clef également volée ?
Y a pas des options de paiement en ligne où on stocke juste la transaction ?

Plastivore Abonné

Le 16/09/2024 à 17h22

Ça a peu de sens en France, où on n'y a pas recours (il me semble), mais ça a beaucoup de sens dans les pays où les banques contactent systématiquement une agence de crédit (comme Equifax, justement - au moins aux US et UK) à la moindre demande de prêt ou de carte de crédit, et ça a un gros impact sur le taux appliqué voire même l'éligibilité. C'est aussi utilisé par certains services (surtout les abonnements Internet ou mobile).

Parce que le moindre problème liée à une utilisation frauduleuse peut plomber le score auprès de ces agences et rendre la vie très difficile. Ça permet d'être vraiment au taquet, et d'éviter d'avoir à faire corriger son historique de crédit à posteriori avec au moins Equifax.

En France, c'est pas forcément un bon rapport prestation/prix, mais ça permet de potentiellement avoir une paire d'yeux supplémentaires et être un peu moins stress à chaque relevé de compte. Si ça peut s'avoir gratos pendant un an, c'est pas forcément plus mal.

Après, je ne défend pas le modèle, je déteste ces agences qui se gavent à tous les niveaux avec les données personnelles en facturant les banques, en faisant payer les clients, et en revendant des statistiques personnelles pour la publicité ciblée en UK (au moins Experian le fait). Et on ne peut pas réalistiquement opt-out car sinon on n'existe plus auprès des banques et des opérateurs téléphoniques.

kazord

Le 16/09/2024 à 13h12

Ce sous titre ❤️

Soriatane Abonné

Le 16/09/2024 à 14h19

Bon, je crois qu'ils ont des infos sur moi. Mais comme c'était dans le cadre de mon ancien employeur, la CB, le téléphone, l'adresse sont ceux du boulot.

Au pire, ça va piller les base de données des malfrats à mon sujet.

ZeMeilleur Abonné

Le 16/09/2024 à 14h28

Je vois déjà le communiqué de presse.
Les autres enseignes, le message était "on a eu une fuite, mais rassurez vous pas vos données bancaires"
Ici ce sera "on a eu une fuite, mais rassurez vous pas votre CVV"

theoldscudo Abonné

Le 17/09/2024 à 09h38

En même temps la norme pci-dss (v4 actuellement) interdit formellement le stockage du cvv
après traitement (donc une fois l'autorisation auprès de la banque faite).

https://secureframe.com/fr-fr/hub/pci-dss/12-requirements

Ne peut pas stocker :

- Données de la bande magnétique

- NIP

- CVV

et en anglais : https://pcicompliancehub.com/storing-cvv-what-merchants-need-to-know/

The first requirement is that businesses must not store CVV data after authorization. This means that once a transaction is completed, the CVV should not be retained in any form

La première condition est que les entreprises ne doivent pas conserver les données CVV après autorisation. Cela signifie qu'une fois qu'une transaction est terminée, le CVV ne doit pas être conservé sous quelque forme que ce soit

ZeMeilleur Abonné

Le 17/09/2024 à 17h20

Mais comment fait Amazon, qui ne redemande pas le CVV à chaque fois ? (contrairement à d'autres commerçants)
Ils ont un jeton spécifique donné par la banque la première fois ?

theoldscudo Abonné

Le 18/09/2024 à 09h40

oui, ils ont un token associé à ta CB, ce qui est presque aussi dangereux. le token ne pouvant théoriquement que être valide pour le commerçant amazon.fr et en liaison avec son contrat bancaire.

fdorin Abonné

Le 16/09/2024 à 14h45

En service de veille français, nous avons Damien Bancal, spécialiste cybersécurité et fondateur de Zataz, qui propose un service du même style. J'avoue ne pas l'avoir testé.

Si quelqu'un l'a déjà fait, je suis preneur d'un retour d'expérience. Merci

Nozalys Abonné

Le 16/09/2024 à 15h41

Merci pour le lien, je ne connaissais pas et ça pourrait m'intéresser.

jpaul

Le 16/09/2024 à 15h48

Attendez, Equifax c'est pas juste une boite de l'enfer aux US en ce qui concerne les données personnelles ?

bilbonsacquet Abonné

Modifié le 16/09/2024 à 18h26

Bah si, justement, quoi de mieux que des experts en fuite de données (147 millions de personnes…) pour gérer une fuite de données ?

https://www.ftc.gov/enforcement/refunds/equifax-data-breach-settlement

floh Abonné

Le 16/09/2024 à 21h58

Tout le monde veut faire de l'open depuis Open AI.
Maintenant c'est dans l'open Breach qu'il faut investir.