Blog GlobalSign

15 oct. 2019

Attaque contre Capital One : quelles leçons en tirer ?

L’attaque contre la banque Capital One est peut-être l’une des plus importantes en nombre de clients concernés et en termes d’impact commercial. Le piratage des 22 et 23 mars 2019 a exposé les données personnelles de près de 106 millions de clients et demandeurs de produits de crédit de la banque.

La pirate a eu accès aux renseignements personnels associés aux dossiers de demandes de carte de crédit de particuliers et de petites entreprises sur la période comprise entre 2005 et le début de 2019. Capital One a détecté la violation le 19 juillet. Parmi les données personnelles volées figuraient les noms, adresses, dates de naissance, notes de solvabilité, historiques des transactions, numéros de sécurité sociale et numéros de comptes bancaires liés.

Près de 140 000 numéros de sécurité sociale et 80 000 numéros de comptes bancaires liés ont ainsi été exposés. Au Canada, les clients et demandeurs de produits de crédit de la banque sont 1 million à s’être fait voler leur numéro de sécurité sociale. Mais Capital One affirme qu’aucun numéro de compte de carte de crédit ni aucun identifiant d’authentification n’a été révélé au grand jour.

Un événement d’une telle ampleur peut certainement causer beaucoup d’ennuis.

Depuis le premier signalement de l’incident fin juillet, un sénateur américain a écrit au PDG d’Amazon Jeff Bezos pour demander des renseignements sur la sécurité d’AWS, le service cloud d’Amazon ; la célèbre plateforme de développement Github a été poursuivie en justice et le procureur général de l’État de New York a ouvert une enquête. Il serait surprenant que l’affaire en reste là.

Des erreurs au niveau du chiffrement

Un piratage informatique est déjà assez grave en soi, mais si les données des 106 millions de clients concernés n’ont pas été totalement chiffrées, rien n’empêche les incidents de sécurité de cette ampleur de survenir.

Selon le Wall Street Journal, « dans l’incident Capital One, les experts ont déclaré que la banque pourrait avoir utilisé un type de chiffrement faible ou ne pas avoir stocké correctement les clés de déchiffrement, permettant à un pirate d’accéder aux données ».

Dans un communiqué, Capital One déclarait utiliser le chiffrement « de manière standard », mais toujours d’après la banque, la méthode employée par le pirate « avait permis de déchiffrer les données ». La banque n’a pas répondu aux questions sur ses pratiques de chiffrement.

Avec le RGPD, Capital One sera-t-il sanctionné financièrement ?

Aujourd’hui, il semblerait qu’aucune des victimes de ce piratage n’était établie dans l’Union européenne ; Capitol One échappe donc à l’amende imposée pour non-respect du RGPD, le règlement de l’UE appliqué depuis mai 2018. La banque pourrait donc être extrêmement chanceuse. Mais le fait que certaines des données collectées par la banque remontent à 2005 est effectivement préoccupant.

Un délai de conservation des données aussi long serait effectivement considéré comme une violation majeure par l’UE. Comme le soulignait un article de Databreach Today, « aujourd’hui, la sagesse qui prévaut pour les organisations est de ne pas conserver les données dont elles n’ont pas besoin. Le Règlement général européen sur la protection des données stipule à ce sujet que les organisations doivent en général supprimer les données personnelles lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, ce qui est notamment le cas si une personne clôture son compte ».

Le RGPD est une réalité bien tangible, dont l’impact est de plus en plus manifeste à travers le monde. En juillet, l’autorité britannique chargée de la protection des données — le Bureau du Commissaire à l’information — a imposé de lourdes amendes à British Airways et Marriott International. Le 8 juillet, British Airways s’est vue sanctionnée d’une amende record de 228 millions de dollars US (206 millions d’euros) pour le piratage des données de plus d’un demi-million de clients en 2018. Le géant hôtelier Marriott International a été condamné à une amende de 124 millions de dollars US (112 millions d’euros) pour l’atteinte à la protection des données dont il avait été victime et qui avait exposé les données personnelles de près de 340 millions de clients.

Cette dernière violation massive de données offre une excellente occasion de revoir quelques-unes des principales règles du RGPD. Le Règlement général sur la protection des données a donné un tour de vis sur les modalités de recueil du consentement des utilisateurs aux politiques juridiques des entreprises, et relevé les exigences vis-à-vis de ces politiques -- et plus précisément des politiques de protection de la vie privée.

Le RGPD exige un niveau inédit d’attention aux détails de la part des entreprises. Il oblige les chefs d’entreprises et responsables Web à analyser en détail leurs pratiques de collecte de données et à les expliquer clairement aux utilisateurs et aux organes de réglementation.

Quelques exemples de questions à se poser :

  • Quelles données votre organisation recueille-t-elle ?
  • A quelles fins votre entreprise utilise-t-elle ces données ?
  • Pour quelles raisons votre organisation traite-t-elle des données ? (L’article 6 du RGPD énonce six fondements possibles au traitement des données : consentement, intérêts légitimes, sauvegarde des intérêts vitaux, obligation légale, exécution d’un contrat et mission d’intérêt public.)
  • Les données sont-elles partagées avec quelqu’un ?
  • Les données sont-elles transférées en dehors de l’UE ? (C’est le cas des entreprises américaines qui s’adressent aux citoyens de l’UE. Vous devez également préciser la localisation de vos serveurs et de la destination de transfert des données.)
  • Avez-vous un délégué à la protection des données ?
  • Votre entreprise a-t-elle un représentant de l’Espace économique européen (EEE) ?

Toute la lumière n’a pas été faite sur les ramifications de l’affaire Capital One. D’autres indices devraient être découverts dans les prochains jours et mois, et nous éclaireront sur la façon dont cet incident s’est produit. Le point positif (si tant est qu’il y en ait un) ? La découverte de ces indices nous permettra d’améliorer nos pratiques en matière de sécurité. Chez GlobalSign, nous visons toujours au-delà des pratiques de chiffrement standard pour offrir à nos milliers de clients à travers le monde des certificats de confiance adossés à une infrastructure à clés publiques pour sécuriser leurs données.

Les leçons à tirer du piratage de Capital One sont nombreuses, et s’il importe de comprendre les raisons d’un tel incident, ce n’est toutefois qu’un début. Pour commencer, explorez la page GlobalSign consacrée à la PKI au service d’une gestion automatisée des certificats. Puis consultez les ressources proposées ci-après.

https://www.globalsign.fr/fr/blog/la-pki-a-la-rescousse-des-enjeux-actuels-pour-la-securite/

https://www.globalsign.fr/fr/blog/qu-est-ce-qu-une-ac-subordonnee-ou-intermediaire/

https://www.globalsign.fr/fr/blog/globalsign-marque-son-avance-dans-l-enregistrement-des-equipements-iot/

Partager ce blog

La PKI à la rescousse des enjeux actuels pour la sécurité

Qu’est-ce qu’une AC subordonnée et pourquoi vouloir la vôtre ?