Connexion
Abonnez-vous

Avis s’est aussi fait pirater des données personnelles, mais également bancaires

Faut arrêter avec l’open data !

Avis s’est aussi fait pirater des données personnelles, mais également bancaires

Après les États-Unis la semaine dernière, Avis informe ses clients français d’une fuite de données les concernant. En plus des informations personnelles « traditionnelles » on retrouve des données bancaires avec le « numéro de carte de crédit et/ou date d’expiration ».

Le 16 septembre à 12h41

La semaine dernière, plusieurs entreprises ont annoncé à tour de rôle avoir été victime d’une cyberattaque ayant entraîné le vol de de données personnelles : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill ainsi que Assurance Retraite. Plusieurs mettent en cause un prestataire externe, mais sans en donner le nom.

Truffaut se « démarque » car l’entreprise ne détaille pas les données personnelles concernées et refuse de nous préciser combien de clients sont concernés.

Un accès non autorisé entre les 3 et 6 août 2024

Voilà qu’une autre entreprise vient se joindre à la fête : Avis. Dans un email envoyé ce week-end à certains clients (dont nous avons eu une copie), le loueur de voiture explique avoir « découvert le 5 août 2024 (heure de l’Est) qu’un tiers non autorisé avait accédé à l’une de nos applications professionnelles […] Sur la base de notre enquête, nous avons déterminé que l’accès non autorisé a eu lieu entre le 3 août 2024 et le 6 août 2024 (heure de l’Est) ». L’accès non autorisé a évidemment été coupé.

Avis détaille l’étendue des dégâts : « Nous avons constaté le 14 août 2024 que le tiers non autorisé avait obtenu vos données à caractère personnel, à savoir votre nom et votre Adresse postale, Numéro de téléphone, et Numéro de carte de crédit et/ou date d’expiration ».

Le code CVV ne fait visiblement pas partie de la fuite, une « bonne » nouvelle. Mais comme toujours, soyez prudent et vérifiez vos relevés de compte. Dans les précédentes fuites, les données bancaires n’étaient pas de la partie, sauf chez DiviaMobilités avec l’IBAN.

Avis « offre » un an d'accès à l'outil Equifax WebDefend

Avis annonce dans son email que le client peut s’inscrire « au service de surveillance de l’identité que nous vous proposons, à savoir un abonnement gratuit d’un an à Equifax WebDefend ». Il faut s’inscrire avant le 31 décembre 2024 pour bénéficier de ce service, via un « code promotionnel unique » donné dans l’email (en annexe, en dessous du message principal).

Cet outil propose deux approches : « L’analyse Internet Equifax WebDetect vous avertit si vos informations se trouvent sur des sites Web utilisés par des fraudeurs » et « Social Scan recherche les sites de réseaux sociaux et signale les risques de fraude liés aux informations que vous pourriez partager ».

300 000 clients aux États-Unis

La fuite d’Avis date donc du mois d’août, mais la société avait déjà prévenu ses clients et les autorités aux États-Unis. On trouve d’ailleurs un bulletin d’alerte sur le site du procureur général de Californie et celui du Maine depuis le début du mois. Il est question d’une fuite sur 299 006 clients.

Nous avons contacté Avis pour savoir pourquoi il y avait une telle latence entre les clients aux États-Unis et ceux en France ? En effet, un des clients d’Avis ayant reçu l’email nous confirme avoir « été client en France uniquement ». Nous avons également demandé combien de personnes en France étaient concernées.

Pour rappel, une société américaine – Slim CD, une plateforme de paiement en ligne – a également été victime d’une fuite de données, là encore avec nom, adresse de clients mais aussi numéro de carte de crédit et date d'expiration. Les deux vols ne sont a priori pas liés puisque dans le cas de Slim CD les pirates ont pu consulter et obtenir les informations entre le 14 et le 15 juin 2024.

Commentaires (16)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Je ne vois pas trop l'intérêt de "Equifax WebDetect".
Vu que la fuite de donnée comporte des données bancaires, c'est certain qu'elles vont être exploitée pour frauder.

Dans ce cas, qu'elle est l'intérêt de savoir que c'est déjà exploité ou non ?
Il faut de suite contacter sa banque pour avoir une nouvelle carte et autre. Ensuite, le reste n'a plus trop d'importance vu qu'on ne pourra rien changer à par déménager
votre avatar
C'est vrai, et en même temps, pour une fois que le service qui s'est fait pirater prend la notion de dédommagement au sérieux, on ne va pas cracher dans la soupe.
votre avatar
En effet.

C'est toujours bon à prendre et bien mieux que les autres niveau réponse.
Mais le fait que les données bancaires soient touchées est sans doute une des raisons principales de ce "dédommagement".
votre avatar
Il faut de suite contacter sa banque pour avoir une nouvelle carte et autre aux frais d'Avis. Ensuite, le reste n'a plus trop d'importance vu qu'on ne pourra rien changer à par déménager
Faudrait pas non plus que les clients victimes paient...
Surtout que bon, pourquoi ont-ils stockés ces données ? Et comment ? En clair ? Chiffrées avec une clef également volée ?
Y a pas des options de paiement en ligne où on stocke juste la transaction ?
votre avatar
Ça a peu de sens en France, où on n'y a pas recours (il me semble), mais ça a beaucoup de sens dans les pays où les banques contactent systématiquement une agence de crédit (comme Equifax, justement - au moins aux US et UK) à la moindre demande de prêt ou de carte de crédit, et ça a un gros impact sur le taux appliqué voire même l'éligibilité. C'est aussi utilisé par certains services (surtout les abonnements Internet ou mobile).

Parce que le moindre problème liée à une utilisation frauduleuse peut plomber le score auprès de ces agences et rendre la vie très difficile. Ça permet d'être vraiment au taquet, et d'éviter d'avoir à faire corriger son historique de crédit à posteriori avec au moins Equifax.

En France, c'est pas forcément un bon rapport prestation/prix, mais ça permet de potentiellement avoir une paire d'yeux supplémentaires et être un peu moins stress à chaque relevé de compte. Si ça peut s'avoir gratos pendant un an, c'est pas forcément plus mal.

Après, je ne défend pas le modèle, je déteste ces agences qui se gavent à tous les niveaux avec les données personnelles en facturant les banques, en faisant payer les clients, et en revendant des statistiques personnelles pour la publicité ciblée en UK (au moins Experian le fait). Et on ne peut pas réalistiquement opt-out car sinon on n'existe plus auprès des banques et des opérateurs téléphoniques.
votre avatar
Ce sous titre ❤️
votre avatar
Bon, je crois qu'ils ont des infos sur moi. Mais comme c'était dans le cadre de mon ancien employeur, la CB, le téléphone, l'adresse sont ceux du boulot.

Au pire, ça va piller les base de données des malfrats à mon sujet.
votre avatar
Je vois déjà le communiqué de presse.
Les autres enseignes, le message était "on a eu une fuite, mais rassurez vous pas vos données bancaires"
Ici ce sera "on a eu une fuite, mais rassurez vous pas votre CVV"
votre avatar
En même temps la norme pci-dss (v4 actuellement) interdit formellement le stockage du cvv
après traitement (donc une fois l'autorisation auprès de la banque faite).

https://secureframe.com/fr-fr/hub/pci-dss/12-requirements
Ne peut pas stocker :
- Données de la bande magnétique
- NIP
- CVV
et en anglais : https://pcicompliancehub.com/storing-cvv-what-merchants-need-to-know/
The first requirement is that businesses must not store CVV data after authorization. This means that once a transaction is completed, the CVV should not be retained in any form
La première condition est que les entreprises ne doivent pas conserver les données CVV après autorisation. Cela signifie qu'une fois qu'une transaction est terminée, le CVV ne doit pas être conservé sous quelque forme que ce soit
votre avatar
Mais comment fait Amazon, qui ne redemande pas le CVV à chaque fois ? (contrairement à d'autres commerçants)
Ils ont un jeton spécifique donné par la banque la première fois ?
votre avatar
oui, ils ont un token associé à ta CB, ce qui est presque aussi dangereux. le token ne pouvant théoriquement que être valide pour le commerçant amazon.fr et en liaison avec son contrat bancaire.
votre avatar
En service de veille français, nous avons Damien Bancal, spécialiste cybersécurité et fondateur de Zataz, qui propose un service du même style. J'avoue ne pas l'avoir testé.

Si quelqu'un l'a déjà fait, je suis preneur d'un retour d'expérience. Merci :chinois:
votre avatar
Merci pour le lien, je ne connaissais pas et ça pourrait m'intéresser.
votre avatar
Attendez, Equifax c'est pas juste une boite de l'enfer aux US en ce qui concerne les données personnelles ?
votre avatar
Bah si, justement, quoi de mieux que des experts en fuite de données (147 millions de personnes…) pour gérer une fuite de données ? :-D

https://www.ftc.gov/enforcement/refunds/equifax-data-breach-settlement
votre avatar
Tout le monde veut faire de l'open depuis Open AI.
Maintenant c'est dans l'open Breach qu'il faut investir.

Avis s’est aussi fait pirater des données personnelles, mais également bancaires

  • Un accès non autorisé entre les 3 et 6 août 2024

  • Avis « offre » un an d'accès à l'outil Equifax WebDefend

  • 300 000 clients aux États-Unis

Fermer