Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Stationnement : vol de données au sein du groupe Indigo

Le 22 avril à 08h03

Plusieurs lecteurs nous ont alerté au sujet d'une notification d'incident « concernant la sécurité des données » émises par le groupe Indigo, qui gère les parkings et stationnements du même nom. Ce dernier a en effet informé vendredi, par mail, ses clients et abonnés au sujet d'une intrusion au sein de son système d'information.

« Aucune donnée bancaire, aucun mot de passe, ni aucun moyen d’accès à votre compte INDIGO Neo n’est concerné », rassure d'emblée le gestionnaire de parkings, qui prévient tout de même que des informations personnelles ont pu fuiter.

« Les données potentiellement exposées concernent et se limitent à : votre adresse mail, votre numéro de plaque d’immatriculation si vous l’avez renseignée, votre nom, votre numéro de téléphone et votre adresse postale, associés à votre compte », alerte Indigo.

Le groupe indique avoir déposé plainte et notifié l'incident à la CNIL. « À ce jour, aucune utilisation frauduleuse de ces données n’a été constatée. Toutefois, nous vous encourageons à faire preuve de vigilance vis-à-vis de tout message suspect ou inhabituel, notamment ceux vous demandant des informations personnelles », prévient-il encore, avant d'inviter les utilisateurs à tout de même changer de mot de passe par précaution.

Le groupe a par ailleurs relayé cette alerte sur son site Web. Indigo rejoint ainsi Alain Afflelou, Hertz ou la Mutuelle des motards dans la longue liste des sociétés victimes d'une cyberattaque ayant entraîné la compromission de données personnelles.

Le 22 avril à 08h03

Commentaires (21)

votre avatar
Comme d'habitude : "ne vous inquiétez pas, tout a fuité mais vous ne serez pas débité".
A quand une obligation d'architecture zéro trust dès qu'on dépasse nom/prénom/e-mail ?
votre avatar
Comme toi, je ne comprends pas qu'il n'y ait pas de BEA risques informatiques, au même titre qu'il en existe un pour les risques industriels, avec audit public.
votre avatar
L'ANSSI est le BEA risques de la sécurité des systèmes d'informations. Ce n'est pas le même périmètre d'intervention que le BEA / BEA-TT, BEA-RI, etc., parce que les règlementations sont différentes.
votre avatar
Le RGPD impose la sécurisation des données. Il y a donc deux cas à prendre en compte :
- l'entreprise a fait le nécessaire pour sécuriser son SI selon les règles de l'art, mais a subit une fuite quand même. On ne peut donc pas lui imputer une défaillance.
- l'entreprise a été défaillante dans la mise en œuvre de cette obligation, elle risque donc une amende.

Il ne faut pas oublier que la sécurité IT n'est pas absolue. Plus que des moyens techniques, c'est surtout une gouvernance.
votre avatar
Font chier avec leurs communications / notifications. Que le mot de passe fuite, c'est le cadet de mes soucis, qu'ils le réinitialise immédiatement. Mais l'association "nom + plaque d'immatriculation + adresse postale", ça la fout mal.

Nota: je ne suis pas concerné par cette fuite de données mais par pas mal d'autres.
votre avatar
Plus que quand l'État le vend ? (LOPPSI 2)

L'État vend le fichier national des cartes grises à des fin marketing
votre avatar
Je ne suis pas au courant de cette histoire, keskessé ?
votre avatar
De mémoire il y a une case à cocher (opt out) pour refuser de céder à des tiers les informations présentes sur les cartes grises : nom, prénom, adresse, date de naissance, puissance de votre véhicule, marque de celui-ci. Par pudeur il n' pas question de revente.
Pour info la poste fait pareil lorsque tu paye un changement d'adresse.
votre avatar
À une différence près concernant La Poste, elle se torche littéralement les fesses avec ton opt-out.
votre avatar
Récemment, j’ai renouvelé ma carte d’identité. Je ne savais pas que je pouvais m’opposer au fichage de mes empreintes d’identité. Quand l’employé de mairie m’a dit de vérifier si les informations du formulaire papier (venant de ma demande en ligne) étaient correctes, j’ai uniquement regardé les champs remplis et je n’ai pas fait attention à une éventuelle option de m’opposer.
Il ne devrait pas y avoir d’opt-out. Pour avoir un consentement éclairé, il faudrait être obligé de choisir activement entre l’acceptation et le refus (ex: en version papier, avec 2 cases à cocher)
votre avatar
Heureusement, on peut faire opposition lors de l'immatriculation ou lors du changement d'adresse sur la carte grise... de mémoire c'est une case à cocher
votre avatar
« Se limitent à » c’est bien plus grave que la CB..

La minimisation est pénible
votre avatar
Cool, il y a un fichier avec les véhicules et l'endroit où les voler. (à partir de l'immatriculation, on peut retrouver le modèle du véhicule)

Ou bien, des malfrats vont copier des plaques d'immatriculation avec des cartes grises encore plus crédible.

Je pense que ma loi devrait imposer des faux profils pour que les forces repèrent la réutilisation des bases de données volées.
votre avatar
Ne jamais garer sa ferrari à son adresse, c'est la base :windu:
Je dis ça sur le ton de la boutade mais je pense que la remarque n'est pas si débile que ça quand on voit le nombre de personnes qui sont susceptibles d'avoir des infos de carte grise. Enfin, il semblerait que les assureurs préfèrent quand c'est garé à domicile.
votre avatar
J’ai dû utiliser leur service il y a un an ou deux. Que fait encore ma plaque d’immatriculation dans leur base de données ? Qu’ils en aient eu besoin pendant que j’étais dans le parking, je peux le comprendre (vérification d’autorisation, facturation, etc). Mais pourquoi la conserver après la sortie du parc ?
votre avatar
Une entreprise doit conserver les éléments associés aux factures pendant un minimum légal de 10 ans. La facturation étant relative à un véhicule en particulier, rien d'étonnant à ce que l'immatriculation soit conservée.

Au delà de cette durée légale, toute entreprise peut conserver des données si elles sont nécessaires pour se défendre, par exemple, lors d'une contestation, le temps que le délai de prescription soit écoulée. C'est aussi dans le RGPD.
votre avatar
Je n'ai jamais eu/demandé de facture pour un parking.

Et si c'était le cas, sur la facture, il y aurait un nom (de société par exemple) et pas un numéro d’immatriculation.

La conservation de l'immatriculation ne peut pas être justifiée, sauf exception par une facture.
votre avatar
Ok, tu n'as donc jamais fait de note de frais. Mais vu que la facture qu'ils envoient automatiquement est une facture non-acquittée, heureusement pour moi qu'ils gardent dans leur base de donnée ce qu'il faut pour établir a posteriori une facture acquittée.

Quand tu fais une réservation, tu donnes l'immatriculation de la voiture. Il me semble donc logique que la facture d'une réservation de parking contienne l'immatriculation de la voiture, de la même façon que la facture d'un hôtel précise le nom du voyageur ou que la facture de mon chauffagiste précise l'adresse du bâtiment où est installée la chaudière. Ça fait partie de la description de la prestation.
votre avatar
La conservation de l'immatriculation ne peut pas être justifiée, sauf exception par une facture.
Ce n'est pas parce que tu ne demandes pas la facture, que la facture n'est pas établie. C'est une obligation légale, à fournir en tant que pièce comptable lors de l'établissement du bilan annuel de l'entreprise.
votre avatar
Quand je rentre dans le parking en demandant un ticket sur la borne, il n’y a pas de relevé de mon immatriculation. Si j’utilise le service de réservation au préalable avec l’immatriculation, ça ne devrait rien changer pour la facture établie lorsque je sors du parking.
votre avatar
Attention, beaucoup de parking font de la reconnaissance de plaque par vidéo.

Stationnement : vol de données au sein du groupe Indigo

Fermer