Une nouvelle journée, un nouveau leak de données : 700 000 français ont vu leurs data personnelles fuiter sur le web. La raison ? Une faille sur le logiciel Francetest, dont le rôle est la transmission des résultats des tests COVID réalisés en pharmacie vers les bases de l’Assurance Maladie.
Ces actualités, pénibles à lire, font pratiquement partie du quotidien et ne choquent plus vraiment. Sur les réseaux sociaux, divers sites aux multiples thématiques et maintenant sur les plateformes travaillant pour l’état, les données sont la cible d’individus malveillants, utilisant ces dernières pour des arnaques, du phishing et autres forfaitures.
Quelles sont les responsabilités ? Quels moyens existent pour éviter ces écueils ?
La plus légitime des interrogations est la suivante : Comment ces données finissent sur le web en accès libre ?
Pourquoi ces données ne sont-elles pas cryptées ou anonymisées ?
Dans l’histoire des piratages, difficile de citer (encore plus aujourd’hui) des entreprises ou institutions qui n’ont pas été affectées par des attaques informatiques. Même le FBI en a été la cible, personne n’est véritablement à l’abri.
Ceci dit, toutes les attaques n’ont pas le même niveau de sophistication ; des techniques simples et peu onéreuses existent,
Avant d’aller plus loin, expliquons la différence entre une donnée en clair et une donnée cryptée :
- Une donnée en clair est une donnée non modifiée, visible telle qu’elle a été saisie. Par exemple, Jean Dupont habite au 7 rue de la Paix restera « Jean Dupont habite au 7 rue de la Paix ». Cette donnée est identique à sa formulation de base, rien n’est modifié.
- Une donnée anonymisée est une donnée sur laquelle on applique un traitement informatique d’anonymisation. Ainsi, Jean Dupont habite au 7 rue de la Paix deviendra « 75ds6sxRY4523vcDE4 ».
Pourquoi est-ce important ? Tout simplement parce que les données sont transformées en clés numériques indéchiffrables (il faudra des dizaines ou des centaines d’années à un logiciel pour déchiffrer une telle combinaison alphanumérique sans la clé pour déchiffrer la donnée). Le problème, lors des leaks de données, est la possibilité d’identifier les individus dont les données ont été piratées.
Ainsi, les hackers vont pouvoir créer des arnaques avec des informations très précises, comme un numéro de sécurité sociale, une date de naissance, un résultat de test COVID récent dans ce cas-ci.
En revanche, utiliser une donnée anonymisée est sans intérêt pour un hacker. Le temps et l’effort fournis à décrypter une donnée piratée sont bien trop importants. La valeur de la donnée réside dans sa qualité, son authenticité et sa lisibilité. Dans le cas de l’anonymisation, ces 3 facteurs sont réduits à néant, puisque cette dernière n’est pas visible.
Anonymiser une donnée apparaît comme une solution simple, et relativement fiable pour éviter la fuite de données personnelles. Cette technique est même recommandée par la CNIL dans le cadre des traitements de données soumis au RGPD.
Pourquoi les données sont-elles traitées en clair sur le web ?
La plupart des entreprises ne prennent pas en compte le risque stratégique des attaques informatiques. Ces risques sont pourtant importants, notamment pour les TPE et PME, dont le coût moyen des attaques était estimé à 35 000 € en 2019.
Ces cyberattaques ont même été multipliées par 4 en 2020, avec l’explosion des rançongiciels (logiciel paralysant les systèmes d’informations de l’entreprise et demandant un paiement en contrepartie du déblocage)
Mettre en place des processus de sécurisation des données n’est pas une affaire de coût mais de temps et d’expertise. Echanger des données d’un système à un autre nécessite de concevoir et de résoudre les questions de sécurité avant la mise en place des flux.
- Date - 7 septembre 2021