Le protocole ZATAZ fait corriger une fuite concernant les titulaires d’un contrat d’assurance souscrit chez Groupama. Plus de 700 000 clients concernés.

Efficace et rapide, tel sera mon premier commentaire concernant cette nouvelle fuite de données concernant des souscripteurs d’assurances. Brèche corrigée à la suite d’un protocole d’alerte ZATAZ [280820181207]. En moins de 2 heures plus de 700 000 courriers de clients de l’assureur Groupama disparaissait du web. Une fuite de données personnelles non sans conséquences. Surtout en cas d’accès par des pirates.

Faute à un prestataire ?

Tout a débuté par un courriel reçu par un membre de ma famille. Dans le courrier, une convocation à une assemblée générale organisée par une association dédiée à l’assurance vie. En cliquant sur le lien, un PDF s’affiche dans l’écran. Un document reprenant l’identité du détenteur du contrat d’assurance, son adresse physique, la date et lieu de l’assemblée générale. Jusqu’ici rien de bien extraordinaire. Mais, vous vous doutez bien, il y « anguille sous roche ». Ma famille étant entraînée à se méfier du moindre mail et courriel, l’alerte est lancée. L’url dirige vers une adresse IP. Une machine installée en région parisienne. Derrière ces quelques chiffres, une entreprise dédiée à la relation client. L’url avait cette forme http://92.829.928.29/APERIA_2018/XXXX.pdf. [pas de https] En effaçant le XXXX.pdf c’est ouvert devant mes yeux plusieurs dossiers. Des espaces de stockage courant d’avril à fin août 2018.

Plus de 700 000 clients concernés

Chaque dossier reprenait une association en charge des titulaires de contrats souscrit auprès de Groupama. Par exemple, plus de 4 000 courriers avec les informations sur les détenteurs d’un contrat d’assurance souscrit par l’AEERP (Association Européenne d’Épargne de Retraite et de Prévoyance) ; 400 000 courriers destinés aux détenteurs d’un contrat d’assurance souscrit par l’ANADAV (Association Nationale Agricole pour le Développement de l’Assurance vie). 5 000 dédiés aux détenteurs d’un plan d’épargne retraite populaire souscrit par l’APERIA (Association de prévoyance, d’épargne et de retraite individuelles et actives). 90 000 courriers pour les détenteurs d’un contrat d’assurance souscrit par l’Association DEMAIN auprès de Groupama Gan Vie. 15 000 aux détenteurs d’un contrat d’assurance souscrit par le RIP (Régime Interprofessionnel de prévoyance). Le dernier concernait les détenteurs d’un contrat d’assurance souscrit par ADAPIA (Association pour le Développement de l’Assurance des Professions Indépendantes et Agricoles). Plus de 110 000 courriers.

Quel risque ?

A première vue donc, des fichiers accessibles depuis le mois d’avril 2018 pour le plus ancien. Des informations qui ont très bien pu être interceptées par des pirates. Des données (identité, adresse, le contrat souscrit) qui pourraient servir dans de multiples possibilités d’escroqueries (fraude au président, usurpation d’identité, phishing ; …). Sans parler de l’aspect concurrentiel avec un « joli » fichier client qu’auraient pu exploiter des concurrents.

Un total de plus de 720 000 courriers qui ont rapidement disparu grâce à l’entremise de la juriste Protection des Données de Groupama Assurances Mutuelles.

ZATAZ a lancé un service veille qui vous permet d’être alerté dans la seconde en cas de fuite de vos données dans le black market. Si jamais vos informations avaient le malheur de sortir dans ce genre d’espace malveillant, il vous sera possible de le savoir dans la mesure ou nous y avons accès. En savoir plus.

Au sujet de l'auteur

Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

3 Comments

Pingback: ZATAZ Rétrospective 2018 : le web, plus troué qu'un gruyère ? - ZATAZ
GLAD Josyane 13/01/2020 at 13:52 Reply

Réf. : ce commentaire laissé le 1er janvier 2020 à 14 h 00, resté sans réponse

Monsieur,

Il se trouve que, adhérente à l’une des structures associatives visées et confrontée à un litige m’opposant audit assureur, j’ai découvert fortuitement votre article ci-dessus.

« 90 000 courriers pour les détenteurs d’un contrat d’assurance souscrit par l’Association DEMAIN auprès de Groupama Gan Vie. » : voici une réalité qui m’intéresse au plus haut point.
Possédez-vous encore le fichier de ce souscripteur ? Si oui, accepteriez-vous de me le fournir ?

Pour moi : Quelle aubaine !
En effet, « Des données (identité, adresse, le contrat souscrit) qui pourraient servir dans » ma recherche d’homologues, afin de faire valoir collectivement les droits attachés à un type de placement.

Jusqu’à présent, récolter les renseignements sur les autres membres placés dans la même situation que moi s’est avéré impossible.

Précisons qu’en 2018 j’ai encore été destinataire de la convocation à l’assemblée générale (8 octobre, Bordeaux) sous format papier.

Je reste à votre entière disposition.

Merci.
- Damien Bancal 13/01/2020 at 16:06 Reply
  
  Bonjour,
  L’assureur a pris en charge son problème, à l’époque.
  Nous ne copions aucun fichier : illégal.
  Sur un plan légal, collecter ce type de document dans votre cas est illicite. La justice ne pourrait les prendre en compte.