Les factures sur Internet, une information à protéger

Alors que la planète découvre que le données personnelles sont des denrées qu’adorent picorer les pirates informatiques, voici deux nouveaux cas qui démontrent qu’Orange, eBay, dernières victimes médiatiques d’une fuite d’informations appartenant à leurs clients, sont loin d’être des faits isolés.

Seule différence entre Orange, eBay et nos deux exemples qui vont suivre, la communication faite aux clients. Dans le cas d’Orange, la loi et la CNIL imposent d’informer les clients en cas de fuite/piratage. Dans le cas d’eBay, c’est la loi américaine qui impose l’alerte. En France, si une société autre qu’un FAI/Opérateur fuite, la CNIL et la LOI n’imposent aucune obligation d’alerte. Un détail aberrant tant les fuites/piratages de nos données sont légions sur la toile. Rien que pour le protocole d’alerte de ZATAZ.COM (Mode d’emploi, alertes ZATAZ en cours), nous avons dépassé les 50.000 cas depuis la création de votre webzine, voilà 18 ans.

La facture, une base de données qui s’ignore

Les procédés électroniques de gestion des factures permettent de réduire les coûts de 50 à 80 % par rapport aux procédés papier. Les investissements dans le traitement des factures par voie électronique sont donc souvent amortis en moins de 6 mois. De nombreuses sociétés utilisent déjà des procédés électroniques. On estime qu’en 2014, environ 40 milliards de factures seront envoyées et archivées à l’échelle mondiale, sans avoir recours au papier.

De plus en plus de clients s’attendent à recevoir des factures électroniques de la part de leurs fournisseurs. Par conséquent, des taux de croissance prolongés de 20 % sont prévus pour le marché des factures électroniques au cours des années à venir. Sauf qu’il ne faudrait pas penser que les factures n’ont pas à être protégées comme nous allons vous le montrer dans les deux exemples qui vont suivre, des alertes du protocole d’alerte de zataz.com.

Des dizaines de millions de factures en 1 clic

L‘excellent site de vente en ligne Show Room Privé a corrigé, voilà quelques semaines, une faille qui donnait accès à pas moins de 30 millions de factures appartenant aux clients du site de vente en ligne. France, Belgique, Suisse, Espagne, … bref, tous les acheteurs passant par le portail. Lors de chaque achat, une facture électronique est générée automatique. Un lien est envoyé au client. Seulement, il suffisait de modifier le numéro proposé dans l’url communiqué par Show Room pour se retrouver face à d’autres informations personnelles appartenant à d’autres clients : noms, adresses postales, commandes, numéros de téléphone. Heureusement, aucune donnée bancaire. A noter une seconde fuite, 7 millions de clients, via l’application mobile de la boutique. Ici, plusieurs millions d’adresses postales accessibles. Alertée, l’entreprise a très rapidement corrigée ses trous.

Autre style, autre genre, la cyber boutique « Ma lentille ». Ici aussi, accès aux factures des clients. Plus de 100.000, via un simple lien accessible à partir de n’importe quel navigateur. Il suffisait d’avoir un compte pour, malheureusement, accéder à l’identité et l’adresse postale du client, ainsi que le montant de sa facture, et des données médicales, celles de la correction et du type de problème oculaire visant le client. Alerté par le protocole d’alerte de ZATAZ, l’entreprise a rapidement mis un terme à la fuite… qu’elle n’avait pu voir sans notre avertissement.

Risque sur facture

Que peut faire un escroc, un pirate, bref un internaute malveillant des informations contenues dans une facture ? L’un des principaux risques, l’usurpation d’identité. Utiliser les noms, prénoms, adresses postales, numéros de téléphones, les intitulés des achats pour piéger les clients. Une fausse proposition commerciale par exemple, incitant la féru de bonnes affaires qui se cache dans votre maison à télécharger un faux bon de réduction, une fausse application pour smartphone, … bref, un logiciel espion comme celui que le FBI tente de bloquer à la suite de l’arrestation de plusieurs dizaines d’internautes, présumés pirates, de par le monde. Une usurpation d’identité de l’entreprise difficilement vérifiable pour les consommateurs, les données privées n’étant connues, normalement, que par la boutique et le propriétaire des dites informations.

Dans nos deux alertes, rien n’indique qu’un malveillant soit passé par là. Il aurait cependant était intéressant que les clients soient alertés par les « fuiteurs », histoire de palier à toutes tentatives d’escroquerie. Un peu de transparence dans ce genre de cas ne ferait pas de mal aux internautes. Faut-il rappeler que la divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende (art. 226-22 du code pénal).

Augmentation des fuites de données

Selon deux enquêtes commandées par IBM auprès de l’institut Ponemon, le coût moyen de la violation des données a augmenté de 15%, pour atteindre une moyenne de 3,5 millions de dollars. Les études indiquent également que les attaques ciblées sont considérées comme la plus grande menace par la majorité des entreprises. Leur coût est estimé à 9,4 millions de $ de perte en valeur intrinsèque pour la marque. Pour la France, le coût d’une violation de données est en moyenne de 4,19$ (2.88€). La France est le pays où la proportion des attaques ciblées est la plus forte. Des attaques qui sont les plus graves. Le taux d’érosion de clients suite à un incident de violation de données serait, toujours selon IBM, très fort en France. Pour finir, ZATAZ.COM rappelle l’article 34 de la loi Informatique et Libertés qui impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel. Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille d’une telle ampleur est découverte. Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement.