Selon Numérama, une cyberattaque survenue en décembre 2020 contre la société maltaise AlphaEx continue encore aujourd’hui de produire ses effets.
Quels sont les faits ?
En décembre 2020, la société AlphaEx, spécialisée dans une cryptodevise écologique, a subi une cyberattaque qui aurait entraîné la fuite de près de 22000 pièces d’identité provenant de différents Etats membres de l’Union européenne mais aussi d’Etat tiers. Il s’agit donc d’une violation de données à caractère personnel qui aurait dû nécessiter une notification auprès de l’autorité de contrôle compétente mais aussi une notification des personnes concernées.
Mais l’affaire ne s’arrête pas là puisque depuis, ces informations sont toujours en vente sur des forums fréquentés par des hackers. Numérama a pu confirmer ces faits en obtenant des échantillons de la part d’un de ces malfaiteurs…
Pourquoi voler ce type d’informations ?
Cela remonte un peu, mais on vous avait fait une petite vidéo explicative parlant du prix des données à caractère personnel (toujours disponible ici) car effectivement elles ont une valeur.
Numérama relate que le malfaiteur leur proposait 5 dollars par document officiel. Un prix qui pourrait sembler dérisoire à la pièce mais si l’on fait le calcul, la somme totale serait dans les 110 000 dollars ! Les données sont à elles seules une mine d’or pour les malfaiteurs.
Pourquoi acheter ces données à caractère personnel ?
Les titres d’identités sont particulièrement précieux car ils peuvent servir à usurper l’identité d’une autre personne.
L’usurpation d’identité constitue un délit : elle se caractérise par l’utilisation d’informations personnelles permettant d’identifier une personne sans son accord pour réaliser des actions frauduleuses. En termes RGPD, on pourrait traduire l’usurpation en risque pour les droits et libertés d’une personne physique (elle pourrait entraîner des pertes financières, des changements de statuts administratifs, etc.) Il s’agit d’une situation qui peut devenir particulièrement grave si elle n’est pas prise à temps !
En tant que personne physique, comment se prémunir de ce type de situation ?
Cybermalveillance propose de nombreuses recommandations que nous vous invitons à consulter : elles sont disponibles ici.
En tant que personne morale, comment éviter ce type de situation ?
Au risque de se répéter, il est essentiel d’évaluer les mesures de sécurité de votre organisme (en passant par un prestataire spécialisé ou en passant par vos équipes internes) afin de vous assurer que les mesures existantes sont suffisantes.
Le risque zéro n’existant pas, il faudra également rester en vigilance constante, notamment quand les données que vous exploitez peuvent intéresser des cyberattaquants (papiers d’identités, dossier médical, etc.)
En cas d’incident portant sur les données, il faudra être réactif afin d’endiguer la situation le plus rapidement possible ! Il faudra également procéder aux notifications obligatoires, le cas échéant.
Et n’oubliez pas ! Une violation d’une telle ampleur pourrait inciter les personnes concernées à agir en recours contre vous pour obtenir une réparation du dommage subi. En France, ce recours peut d’ailleurs prendre la forme d’une action collective. Sans oublier également que la CNIL est tout à fait en droit de sanctionner ce type de situation.
Enfin sensibilisez et formez vos équipes, la majeure partie des failles de sécurité sont des erreurs humaines. Des questions sur le sujet ? RGPD Academy reste à votre écoute !
