Le protocole ZATAZ fait corriger une fuite concernant les titulaires d’un contrat d’assurance souscrit chez Groupama. Plus de 700 000 clients concernés.

Efficace et rapide, tel sera mon premier commentaire concernant cette nouvelle fuite de données concernant des souscripteurs d’assurances. Brèche corrigée à la suite d’un protocole d’alerte ZATAZ [280820181207]. En moins de 2 heures plus de 700 000 courriers de clients de l’assureur Groupama disparaissait du web. Une fuite de données personnelles non sans conséquences. Surtout en cas d’accès par des pirates.

Faute à un prestataire ?

Tout a débuté par un courriel reçu par un membre de ma famille. Dans le courrier, une convocation à une assemblée générale organisée par une association dédiée à l’assurance vie. En cliquant sur le lien, un PDF s’affiche dans l’écran. Un document reprenant l’identité du détenteur du contrat d’assurance, son adresse physique, la date et lieu de l’assemblée générale. Jusqu’ici rien de bien extraordinaire. Mais, vous vous doutez bien, il y « anguille sous roche ». Ma famille étant entraînée à se méfier du moindre mail et courriel, l’alerte est lancée. L’url dirige vers une adresse IP. Une machine installée en région parisienne. Derrière ces quelques chiffres, une entreprise dédiée à la relation client. L’url avait cette forme http://92.829.928.29/APERIA_2018/XXXX.pdf. [pas de https] En effaçant le XXXX.pdf c’est ouvert devant mes yeux plusieurs dossiers. Des espaces de stockage courant d’avril à fin août 2018.

Plus de 700 000 clients concernés

Chaque dossier reprenait une association en charge des titulaires de contrats souscrit auprès de Groupama. Par exemple, plus de 4 000 courriers avec les informations sur les détenteurs d’un contrat d’assurance souscrit par l’AEERP (Association Européenne d’Épargne de Retraite et de Prévoyance) ; 400 000 courriers destinés aux détenteurs d’un contrat d’assurance souscrit par l’ANADAV (Association Nationale Agricole pour le Développement de l’Assurance vie). 5 000 dédiés aux détenteurs d’un plan d’épargne retraite populaire souscrit par l’APERIA (Association de prévoyance, d’épargne et de retraite individuelles et actives). 90 000 courriers pour les détenteurs d’un contrat d’assurance souscrit par l’Association DEMAIN auprès de Groupama Gan Vie. 15 000 aux détenteurs d’un contrat d’assurance souscrit par le RIP (Régime Interprofessionnel de prévoyance). Le dernier concernait les détenteurs d’un contrat d’assurance souscrit par ADAPIA (Association pour le Développement de l’Assurance des Professions Indépendantes et Agricoles). Plus de 110 000 courriers.

Quel risque ?

A première vue donc, des fichiers accessibles depuis le mois d’avril 2018 pour le plus ancien. Des informations qui ont très bien pu être interceptées par des pirates. Des données (identité, adresse, le contrat souscrit) qui pourraient servir dans de multiples possibilités d’escroqueries (fraude au président, usurpation d’identité, phishing ; …). Sans parler de l’aspect concurrentiel avec un « joli » fichier client qu’auraient pu exploiter des concurrents.

Un total de plus de 720 000 courriers qui ont rapidement disparu grâce à l’entremise de la juriste Protection des Données de Groupama Assurances Mutuelles.

ZATAZ a lancé un service veille qui vous permet d’être alerté dans la seconde en cas de fuite de vos données dans le black market. Si jamais vos informations avaient le malheur de sortir dans ce genre d’espace malveillant, il vous sera possible de le savoir dans la mesure ou nous y avons accès. En savoir plus.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

3 Comments

Pingback: ZATAZ Rétrospective 2018 : le web, plus troué qu'un gruyère ? - ZATAZ
GLAD Josyane 13/01/2020 at 13:52 Reply

Réf. : ce commentaire laissé le 1er janvier 2020 à 14 h 00, resté sans réponse

Monsieur,

Il se trouve que, adhérente à l’une des structures associatives visées et confrontée à un litige m’opposant audit assureur, j’ai découvert fortuitement votre article ci-dessus.

« 90 000 courriers pour les détenteurs d’un contrat d’assurance souscrit par l’Association DEMAIN auprès de Groupama Gan Vie. » : voici une réalité qui m’intéresse au plus haut point.
Possédez-vous encore le fichier de ce souscripteur ? Si oui, accepteriez-vous de me le fournir ?

Pour moi : Quelle aubaine !
En effet, « Des données (identité, adresse, le contrat souscrit) qui pourraient servir dans » ma recherche d’homologues, afin de faire valoir collectivement les droits attachés à un type de placement.

Jusqu’à présent, récolter les renseignements sur les autres membres placés dans la même situation que moi s’est avéré impossible.

Précisons qu’en 2018 j’ai encore été destinataire de la convocation à l’assemblée générale (8 octobre, Bordeaux) sous format papier.

Je reste à votre entière disposition.

Merci.
- Damien Bancal 13/01/2020 at 16:06 Reply
  
  Bonjour,
  L’assureur a pris en charge son problème, à l’époque.
  Nous ne copions aucun fichier : illégal.
  Sur un plan légal, collecter ce type de document dans votre cas est illicite. La justice ne pourrait les prendre en compte.