webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

[VIDEO] Cyberattaque et violation de données personnelles - Episode 2, par Amira BOUNEDJOUM

Réflexions d'Experts

Y a-t-il un type d’attaque informatique ou un mode opératoire particulier dans le contexte actuel ? Amira BOUNEDJOUM nous répond.

Y a-t-il un type d’attaque informatique ou un mode opératoire particulier dans le contexte actuel ?

On assiste vraiment à une multitude d’attaques. Il y a notamment énormément de cas de phishing. Mais parmi les attaques les plus fréquentes et ayant les répercussions les plus importantes, on remarque beaucoup d’attaques de type skimming, c’est-à-dire des attaques qui ont permis de capter des données de cartes bancaires au moment où ces instruments de paiement étaient utilisés. Je précise que je ne suis pas en train de faire référence à un détournement d’une base de données qui regrouperait tous les numéros de cartes bancaires qui vont être utilisées sur le site en question. Très souvent le cyber-marchand ne conserve même pas les données bancaires et celles-ci sont récupérées par l’agent malveillant au moment-même où elles sont renseignées. C’est une capture de ces données-là à l’instant T.

Le mode opératoire est souvent le même :

  • La cible, c’est un site internet e-commerce qui a un chiffre d’affaires très important particulièrement pendant la période de confinement ;
  • Ce site a souvent fait l’objet d’une sorte de scan de vulnérabilités, c’est-à-dire qu’étaient recherchées toutes les failles pouvant être exploitées ;
  • Et une fois identifiées, elles ont été exploitées ; et il s’agit souvent d’une injection SQL, une usurpation d’un compte administrateur ou encore l’exploitation d’une vulnérabilité de la plateforme e-commerce en elle-même.

Alors il faut savoir qu’un cyber-attaquant ça peut être très patient. Ce n’est pas parce qu’il a identifié votre faille ce matin qu’il vous attaquera ce soir ou demain. Donc dans la plupart des attaques, que j’ai en tête du moins, on accuse un délai de plusieurs mois avant de se rendre compte de l’attaque. D’abord parce qu’elle peut être très difficilement détectable, ensuite parce que même les victimes directes – à savoir les détenteurs, les propriétaires de ces cartes – n’alertent pas spécialement à ce sujet puisqu’eux-mêmes ne font pas le lien entre leur achat légitime sur le site e-commerce et la réutilisation de leurs données de manière frauduleuse plusieurs mois après la récupération de ces données.

Assez régulièrement d’ailleurs, l’entreprise est alertée de la violation de données par son prestataire de paiement ou sa banque qui indique avoir reçu une alerte d’encore plus haut, à savoir une alerte du groupement Carte Bancaire.

Alors comment c’est possible ? Le groupement Carte Bancaire a une visibilité sur les demandes d’opposition formulées par les détenteurs de cartes, donc dès qu’il y a un nombre trop important d’opposition en raison de paiements frauduleux, et bien le réseau CB va faire une première analyse et s’il est constaté qu’une une grande partie des cartes bancaires fraudées a pour point commun d’avoir préalablement été utilisée sur un site marchand en particulier, le réseau CB va considérer qu’il y a de fortes chances pour que les données de ces cartes bancaires corrompues, fraudées, aient pu être récupérées à cette occasion et va donc faire une alerte sur un doute de compromission. Et là, la machine va se lancer.

VOIR AUSSI

Dispositifs d’alertes professionnelles : la CNIL publie un référentiel dédié

Délibération n°2019-139 du 18 juillet 2019 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d'un dispositif d'alertes professionnelles

- Vu : 1132

La CNIL publie un référentiel dédié aux dispositifs d’alertes professionnelles ayant pour objet de se substituer à l’autorisation unique AU-004 dénuée de force juridique depuis l’entrée en application du Règlement européen sur la protection des données.

> Lire la suite

Règlement européen sur la protection des données personnelles : tous les contrats de sous-traitance doivent être modifiés avant le 25 mai 2018

Guide du sous-traitant (Edition Sept. 2017 – CNIL)

- Vu : 1377

La CNIL a édité un guide pratique à destination des sous-traitants en septembre dernier afin de les accompagner dans la mise en œuvre des nouvelles obligations imposées par le règlement européen en matière de protection des données personnelles (le « Règlement »).

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 6882
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 6064
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 4877
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Action en contrefaçon de droit d’auteur et preuve de la qualité d’auteur
16 novembre 2018 - Vu : 4062
La recevabilité de l’action en contrefaçon de droit d’auteur est subordonnée à la preuve de la qualité d’auteur ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©