Après les États-Unis la semaine dernière, Avis informe ses clients français d’une fuite de données les concernant. En plus des informations personnelles « traditionnelles » on retrouve des données bancaires avec le « numéro de carte de crédit et/ou date d’expiration ».
La semaine dernière, plusieurs entreprises ont annoncé à tour de rôle avoir été victime d’une cyberattaque ayant entraîné le vol de de données personnelles : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill ainsi que Assurance Retraite. Plusieurs mettent en cause un prestataire externe, mais sans en donner le nom.
Truffaut se « démarque » car l’entreprise ne détaille pas les données personnelles concernées et refuse de nous préciser combien de clients sont concernés.
Un accès non autorisé entre les 3 et 6 août 2024
Voilà qu’une autre entreprise vient se joindre à la fête : Avis. Dans un email envoyé ce week-end à certains clients (dont nous avons eu une copie), le loueur de voiture explique avoir « découvert le 5 août 2024 (heure de l’Est) qu’un tiers non autorisé avait accédé à l’une de nos applications professionnelles […] Sur la base de notre enquête, nous avons déterminé que l’accès non autorisé a eu lieu entre le 3 août 2024 et le 6 août 2024 (heure de l’Est) ». L’accès non autorisé a évidemment été coupé.
Avis détaille l’étendue des dégâts : « Nous avons constaté le 14 août 2024 que le tiers non autorisé avait obtenu vos données à caractère personnel, à savoir votre nom et votre Adresse postale, Numéro de téléphone, et Numéro de carte de crédit et/ou date d’expiration ».
Le code CVV ne fait visiblement pas partie de la fuite, une « bonne » nouvelle. Mais comme toujours, soyez prudent et vérifiez vos relevés de compte. Dans les précédentes fuites, les données bancaires n’étaient pas de la partie, sauf chez DiviaMobilités avec l’IBAN.
Avis « offre » un an d'accès à l'outil Equifax WebDefend
Avis annonce dans son email que le client peut s’inscrire « au service de surveillance de l’identité que nous vous proposons, à savoir un abonnement gratuit d’un an à Equifax WebDefend ». Il faut s’inscrire avant le 31 décembre 2024 pour bénéficier de ce service, via un « code promotionnel unique » donné dans l’email (en annexe, en dessous du message principal).
Cet outil propose deux approches : « L’analyse Internet Equifax WebDetect vous avertit si vos informations se trouvent sur des sites Web utilisés par des fraudeurs » et « Social Scan recherche les sites de réseaux sociaux et signale les risques de fraude liés aux informations que vous pourriez partager ».
300 000 clients aux États-Unis
La fuite d’Avis date donc du mois d’août, mais la société avait déjà prévenu ses clients et les autorités aux États-Unis. On trouve d’ailleurs un bulletin d’alerte sur le site du procureur général de Californie et celui du Maine depuis le début du mois. Il est question d’une fuite sur 299 006 clients.
Nous avons contacté Avis pour savoir pourquoi il y avait une telle latence entre les clients aux États-Unis et ceux en France ? En effet, un des clients d’Avis ayant reçu l’email nous confirme avoir « été client en France uniquement ». Nous avons également demandé combien de personnes en France étaient concernées.
Pour rappel, une société américaine – Slim CD, une plateforme de paiement en ligne – a également été victime d’une fuite de données, là encore avec nom, adresse de clients mais aussi numéro de carte de crédit et date d'expiration. Les deux vols ne sont a priori pas liés puisque dans le cas de Slim CD les pirates ont pu consulter et obtenir les informations entre le 14 et le 15 juin 2024.
![[MàJ ] Après les bipeurs, des talkies-walkies explosifs… et encore plus de questions sur le mode opératoire](https://next.ink/wp-content/uploads/2024/09/Beeper2-510x247.webp "[MàJ ] Après les bipeurs, des talkies-walkies explosifs… et encore plus de questions sur le mode opératoire")
Commentaires (16)
#1
Vu que la fuite de donnée comporte des données bancaires, c'est certain qu'elles vont être exploitée pour frauder.
Dans ce cas, qu'elle est l'intérêt de savoir que c'est déjà exploité ou non ?
Il faut de suite contacter sa banque pour avoir une nouvelle carte et autre. Ensuite, le reste n'a plus trop d'importance vu qu'on ne pourra rien changer à par déménager
#1.1
#1.2
C'est toujours bon à prendre et bien mieux que les autres niveau réponse.
Mais le fait que les données bancaires soient touchées est sans doute une des raisons principales de ce "dédommagement".
#1.3
Faudrait pas non plus que les clients victimes paient...
Surtout que bon, pourquoi ont-ils stockés ces données ? Et comment ? En clair ? Chiffrées avec une clef également volée ?
Y a pas des options de paiement en ligne où on stocke juste la transaction ?
Historique des modifications :
Posté le 16/09/2024 à 14h34
Posté le 16/09/2024 à 14h35
Faudrait pas non plus que les clients victimes paient...
Surtout que bon, pourquoi ont-ils stockés ces données ? Et comment ? En clair ? Chiffrer avec une clef également volée ?
Y a pas des options de paiement en ligne où on stocke juste la transaction ?
#1.4
Parce que le moindre problème liée à une utilisation frauduleuse peut plomber le score auprès de ces agences et rendre la vie très difficile. Ça permet d'être vraiment au taquet, et d'éviter d'avoir à faire corriger son historique de crédit à posteriori avec au moins Equifax.
En France, c'est pas forcément un bon rapport prestation/prix, mais ça permet de potentiellement avoir une paire d'yeux supplémentaires et être un peu moins stress à chaque relevé de compte. Si ça peut s'avoir gratos pendant un an, c'est pas forcément plus mal.
Après, je ne défend pas le modèle, je déteste ces agences qui se gavent à tous les niveaux avec les données personnelles en facturant les banques, en faisant payer les clients, et en revendant des statistiques personnelles pour la publicité ciblée en UK (au moins Experian le fait). Et on ne peut pas réalistiquement opt-out car sinon on n'existe plus auprès des banques et des opérateurs téléphoniques.
#2
#3
Au pire, ça va piller les base de données des malfrats à mon sujet.
#4
Les autres enseignes, le message était "on a eu une fuite, mais rassurez vous pas vos données bancaires"
Ici ce sera "on a eu une fuite, mais rassurez vous pas votre CVV"
#4.1
après traitement (donc une fois l'autorisation auprès de la banque faite).
https://secureframe.com/fr-fr/hub/pci-dss/12-requirements
et en anglais : https://pcicompliancehub.com/storing-cvv-what-merchants-need-to-know/
#4.2
Ils ont un jeton spécifique donné par la banque la première fois ?
#4.3
#5
Si quelqu'un l'a déjà fait, je suis preneur d'un retour d'expérience. Merci
#5.1
#6
#6.1
https://www.ftc.gov/enforcement/refunds/equifax-data-breach-settlement
Historique des modifications :
Posté le 16/09/2024 à 18h26
Bah si, justement, quoi de mieux que des experts en fuite de données (147 millions de personnes…) pour gérer une fuite de données ?
https://www.ftc.gov/enforcement/refunds/equifax-data-breach-settlement
#7
Maintenant c'est dans l'open Breach qu'il faut investir.