webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

[VIDEO] Cyberattaque et violation de données personnelles - Episode 2, par Amira BOUNEDJOUM

Réflexions d'Experts

Y a-t-il un type d’attaque informatique ou un mode opératoire particulier dans le contexte actuel ? Amira BOUNEDJOUM nous répond.

Y a-t-il un type d’attaque informatique ou un mode opératoire particulier dans le contexte actuel ?

On assiste vraiment à une multitude d’attaques. Il y a notamment énormément de cas de phishing. Mais parmi les attaques les plus fréquentes et ayant les répercussions les plus importantes, on remarque beaucoup d’attaques de type skimming, c’est-à-dire des attaques qui ont permis de capter des données de cartes bancaires au moment où ces instruments de paiement étaient utilisés. Je précise que je ne suis pas en train de faire référence à un détournement d’une base de données qui regrouperait tous les numéros de cartes bancaires qui vont être utilisées sur le site en question. Très souvent le cyber-marchand ne conserve même pas les données bancaires et celles-ci sont récupérées par l’agent malveillant au moment-même où elles sont renseignées. C’est une capture de ces données-là à l’instant T.

Le mode opératoire est souvent le même :

  • La cible, c’est un site internet e-commerce qui a un chiffre d’affaires très important particulièrement pendant la période de confinement ;
  • Ce site a souvent fait l’objet d’une sorte de scan de vulnérabilités, c’est-à-dire qu’étaient recherchées toutes les failles pouvant être exploitées ;
  • Et une fois identifiées, elles ont été exploitées ; et il s’agit souvent d’une injection SQL, une usurpation d’un compte administrateur ou encore l’exploitation d’une vulnérabilité de la plateforme e-commerce en elle-même.

Alors il faut savoir qu’un cyber-attaquant ça peut être très patient. Ce n’est pas parce qu’il a identifié votre faille ce matin qu’il vous attaquera ce soir ou demain. Donc dans la plupart des attaques, que j’ai en tête du moins, on accuse un délai de plusieurs mois avant de se rendre compte de l’attaque. D’abord parce qu’elle peut être très difficilement détectable, ensuite parce que même les victimes directes – à savoir les détenteurs, les propriétaires de ces cartes – n’alertent pas spécialement à ce sujet puisqu’eux-mêmes ne font pas le lien entre leur achat légitime sur le site e-commerce et la réutilisation de leurs données de manière frauduleuse plusieurs mois après la récupération de ces données.

Assez régulièrement d’ailleurs, l’entreprise est alertée de la violation de données par son prestataire de paiement ou sa banque qui indique avoir reçu une alerte d’encore plus haut, à savoir une alerte du groupement Carte Bancaire.

Alors comment c’est possible ? Le groupement Carte Bancaire a une visibilité sur les demandes d’opposition formulées par les détenteurs de cartes, donc dès qu’il y a un nombre trop important d’opposition en raison de paiements frauduleux, et bien le réseau CB va faire une première analyse et s’il est constaté qu’une une grande partie des cartes bancaires fraudées a pour point commun d’avoir préalablement été utilisée sur un site marchand en particulier, le réseau CB va considérer qu’il y a de fortes chances pour que les données de ces cartes bancaires corrompues, fraudées, aient pu être récupérées à cette occasion et va donc faire une alerte sur un doute de compromission. Et là, la machine va se lancer.

VOIR AUSSI

« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque

« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021

- Vu : 282

Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant des acteurs de secteurs et de tailles différentes. Pour aider les entreprises françaises les plus démunies, le Gouvernement a annoncé le 20 juillet dernier, la mise en place d’un dispositif d’alerte et de prévention dédié aux TPE et PME en cas de risque majeur de cyberattaques, leur permettant de réagir le plus rapidement et le plus efficacement possible.

> Lire la suite

Transparence et vigilance en matière de cookies sur les sites internet

CE, 10ème - 9ème ch. réunies, 6 juin 2018, n°412589

- Vu : 1592

L’éditeur d’un site internet qui utilise des cookies doit s’assurer d’informer de manière claire et transparente ses internautes des finalités des cookies déposés à l’occasion d’une visite sur son site et de définir et respecter une durée de conservation proportionnée à la finalité de ces cookies.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 8765
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 7797
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Action en contrefaçon de droit d’auteur et preuve de la qualité d’auteur
16 novembre 2018 - Vu : 6261
La recevabilité de l’action en contrefaçon de droit d’auteur est subordonnée à la preuve de la qualité d’auteur ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 5764
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©