[VIDEO] Cyberattaque et violation de données personnelles – Episode 2, par Amira BOUNEDJOUM

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

Réflexions d'Experts

Y a-t-il un type d’attaque informatique ou un mode opératoire particulier dans le contexte actuel ? Amira BOUNEDJOUM nous répond.

Y a-t-il un type d’attaque informatique ou un mode opératoire particulier dans le contexte actuel ?

On assiste vraiment à une multitude d’attaques. Il y a notamment énormément de cas de phishing. Mais parmi les attaques les plus fréquentes et ayant les répercussions les plus importantes, on remarque beaucoup d’attaques de type skimming, c’est-à-dire des attaques qui ont permis de capter des données de cartes bancaires au moment où ces instruments de paiement étaient utilisés. Je précise que je ne suis pas en train de faire référence à un détournement d’une base de données qui regrouperait tous les numéros de cartes bancaires qui vont être utilisées sur le site en question. Très souvent le cyber-marchand ne conserve même pas les données bancaires et celles-ci sont récupérées par l’agent malveillant au moment-même où elles sont renseignées. C’est une capture de ces données-là à l’instant T.

Le mode opératoire est souvent le même :

  • La cible, c’est un site internet e-commerce qui a un chiffre d’affaires très important particulièrement pendant la période de confinement ;
  • Ce site a souvent fait l’objet d’une sorte de scan de vulnérabilités, c’est-à-dire qu’étaient recherchées toutes les failles pouvant être exploitées ;
  • Et une fois identifiées, elles ont été exploitées ; et il s’agit souvent d’une injection SQL, une usurpation d’un compte administrateur ou encore l’exploitation d’une vulnérabilité de la plateforme e-commerce en elle-même.

Alors il faut savoir qu’un cyber-attaquant ça peut être très patient. Ce n’est pas parce qu’il a identifié votre faille ce matin qu’il vous attaquera ce soir ou demain. Donc dans la plupart des attaques, que j’ai en tête du moins, on accuse un délai de plusieurs mois avant de se rendre compte de l’attaque. D’abord parce qu’elle peut être très difficilement détectable, ensuite parce que même les victimes directes – à savoir les détenteurs, les propriétaires de ces cartes – n’alertent pas spécialement à ce sujet puisqu’eux-mêmes ne font pas le lien entre leur achat légitime sur le site e-commerce et la réutilisation de leurs données de manière frauduleuse plusieurs mois après la récupération de ces données.

Assez régulièrement d’ailleurs, l’entreprise est alertée de la violation de données par son prestataire de paiement ou sa banque qui indique avoir reçu une alerte d’encore plus haut, à savoir une alerte du groupement Carte Bancaire.

Alors comment c’est possible ? Le groupement Carte Bancaire a une visibilité sur les demandes d’opposition formulées par les détenteurs de cartes, donc dès qu’il y a un nombre trop important d’opposition en raison de paiements frauduleux, et bien le réseau CB va faire une première analyse et s’il est constaté qu’une une grande partie des cartes bancaires fraudées a pour point commun d’avoir préalablement été utilisée sur un site marchand en particulier, le réseau CB va considérer qu’il y a de fortes chances pour que les données de ces cartes bancaires corrompues, fraudées, aient pu être récupérées à cette occasion et va donc faire une alerte sur un doute de compromission. Et là, la machine va se lancer.

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
Démarchage téléphonique et dispositif Bloctel : la DGCCRF multiplie contrôles et sanctions
Le démarchage téléphonique est régi par les dispositions du Code de la consommation, lesquelles imposent, d’une part, une information claire relative au droit de s’opposer au démarchage téléphonique lors de la collecte de numéros de téléphone et, d’autre part, l’obligation…