Le RGPD, une bénédiction pour les cybercriminels et les arnaqueurs

 |   |  845  mots
Le RGPD a ainsi donné naissance à un nouveau type de ransomware (rançongiciel ou logiciel-rançon en français) : le ransomhack, qui menace d'exposer l'entreprise non-conforme si elle ne paie pas une rançon.
Le RGPD a ainsi donné naissance à un nouveau type de ransomware (rançongiciel ou logiciel-rançon en français) : le ransomhack, qui menace d'exposer l'entreprise non-conforme si elle ne paie pas une rançon. (Crédits : DR)
La Cnil et les experts en cybersécurité mettent en garde les entreprises aux arnaques au RGPD, qu'il s'agisse de ransomhacks (menaces d'exposer l'entreprise non-conforme si elle ne paye pas une rançon) ou d'arnaques plus classiques comme des démarchages trompeurs. Explications.

Jungle du RGPD, nouvel épisode. Un mois après son entrée en vigueur, le 25 mai dernier, le Règlement général européen sur la protection des données (RGPD), qui impose aux entreprises et aux organisations de revoir toute leur architecture de collecte et de traitement des données personnelles de leur utilisateurs/clients, n'en finit pas d'engendrer son lot de troubles.

Comme le RGPD est un véritable changement de paradigme qui nécessite d'effectuer des investissements parfois conséquents pour la mise en conformité, que moins d'un tiers des entreprises le sont, et que les sanctions en cas de non-respect de la législation peuvent atteindre jusqu'à 4% du chiffre d'affaires mondial, il y avait donc un terrain béni pour les cybercriminels et les arnaqueurs. La Commission nationale informatique et libertés (CNIL) avait d'ailleurs déjà sonné l'alerte pendant les mois précédant l'entrée en vigueur, mais les arnaques ont redoublé d'intensité depuis. De nombreux experts en cybersécurité dénoncent également sur les nouvelles pratiques des cybercriminels pour tirer profit de la panique autour du RGPD.

Lire aussi : Le RGPD est officiellement en vigueur, et c'est le grand flou

Le ransomhack, nouveau type de rançongiciel qui menace les entreprises non-conformes

Le RGPD a ainsi donné naissance à un nouveau type de ransomware (rançongiciel ou logiciel-rançon en français) : le ransomhack. La différence ? Alors que le ransomware bloque l'accès aux données de l'utilisateur en les chiffrant et demande le paiement d'une rançon pour les rendre lisibles à nouveau, le ransomhack ne prend même pas la peine d'avoir recours au chiffrement : une fois infiltré dans le système informatique de sa victime, le hacker exige simplement le paiement de la rançon sous peine de rendre publique la fuite de données sur Internet.

Diabolique, mais malin : avec le RGPD, les entreprises qui protègent insuffisamment les données personnelles de leurs clients sont passibles de sanctions qui peuvent atteindre jusqu'à 4% de leur chiffre d'affaires. D'après l'article 33 du RGPD, en cas de violation des données, les entreprises doivent en informer les autorités de contrôle (la Cnil) au plus tôt et au maximum 72 heures après en avoir pris connaissance, sous peine de subir des sanctions supplémentaires.

D'après la société de cybersécurité bulgare Tad Group, les cybercriminels utilisant des ransomhack parient sur la peur des sanctions pour pousser les entreprises hackées à payer la rançon sans sourciller. L'éditeur a observé que les rançons demandées s'élèvent entre 1.000 dollars et 20.000 dollars. Tant que les entreprises qui exploitent des données personnelles n'auront pas sécurisé l'ensemble de leurs systèmes d'exploitation - face à l'urgence et aux coûts engagés, elles définissent des priorités -, elles seront vulnérables à ce type d'attaques. Cela ne signifie pas pour autant qu'une société victime d'un ransomhack sera sanctionnée par la Cnil : le régulateur devra déterminer si l'entreprise avait bien pris les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque avant de subir l'attaque. Mais l'éditeur en cybersécurité Acronis préfère prévenir : "Votre plus grande menace sur la route de la conformité RGPD pourrait être une brèche liée à un ransomware".

Lire aussi : Protection des données : le chaotique business de la conformité RGPD

Les arnaques à la conformité se multiplient

Autre fléau lié au RGPD : les escrocs qui jouent sur la peur des sanctions pour facturer une fausse mise en conformité. La Cnil a publié le 7 juin une mise en garde contre la recrudescence de cette pratique et a appelé entreprises et organisations à "la plus grande vigilance".

Ainsi, certains escrocs envoient un faux formulaire intitulé "Déclaration normale RGPD", qui reproduit frauduleusement le logo de la Cnil. La victime doit remplir le fichier, le renvoyer, et payer pour la démarche.

Un autre cas de fraude est le fameux courrier, courriel ou fax de "dernier rappel", qui présente également un logo usurpé de la Cnil. Le message "invite à appeler un numéro de téléphone pour ensuite facturer la fausse mise en conformité au règlement européen", explique la Cnil. Qui en profite pour rappeler :

"La mise en conformité au RGPD nécessite plus qu'un simple échange ou l'envoi d'une documentation. Elle suppose un vrai accompagnement, par une personne qualifiée en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps. Il est nécessaire, avant tout engagement, de chercher en ligne des informations sur la société qui prend contact avec vous."

Pour aider les entreprises dans leur mise en conformité au RGPD, la CNIL a publié des guides et tutoriels comme "RGPD : ce qui change pour les pros", ou encore le "Guide de sensibilisation pour les petites et moyennes entreprises" élaboré en partenariat avec Bpifrance.

Lire aussi : RGPD : plongée dans le quotidien d'un DPO avec la startup Famoco

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 28/06/2018 à 16:39 :
Amusant, à côté de cela n'importe quelle application exige l'accès à l'ensemble des données des smartphones, sans que personne ne dise rien. Les applis ne devraient avoir aucun accès aux données, tel que contacts, photos, etc.
a écrit le 28/06/2018 à 15:54 :
C’est une fuite d’une ampleur rare. Vinny Troia, un chercheur en sécurité informatique, a découvert en juin une base de données contenant les informations personnelles d’environ 230 millions d’Américains et 110 millions d’entreprises, a rapporté le site spécialisé Wired mercredi 27 juin. Elle appartenait à l’entreprise Exactis, spécialisée dans le marketing et l’agrégation de données.

Au total, Vinny Troia a trouvé près de deux téraoctets de données, accessibles depuis Internet, concernant « presque tous les citoyens américains » : des nom, adresse, numéro de téléphone, adresse e-mails, âge, et des informations sur de potentiels centres d’intérêt comme le statut de fumeur, la religion, le genre des enfants ou encore la possession ou non d’animaux de compagnie. Plus de quatre cents variables par personne figurent dans la base, grâce à des méthodes que ne détaille pas la firme sur son site tout en assurant être en conformité avec la loi dans sa collecte de données.Il semblerait, selon Wired, que les numéros de carte bancaire et de sécurité sociale ne soient en revanche pas concernés.

Les données étaient non protégées, disponibles publiquement, et donc accessibles à n’importe quel internaute. On ignore pour le moment si elles ont été consultées et utilisées avant la trouvaille du chercheur. Vinny Troia dit avoir contacté Exactis et le FBI la semaine dernière pour les avertir de la faille. Il a expliqué que l’entreprise avait depuis protégé ses données, qui n’étaient plus accesibles. Exactis n’a pas encore réagi publiquement.
C’est la deuxième fois ces derniers mois qu’une entreprise américaine spécialisée dans l’agrégation de données est visée par un piratage.Le Monde
a écrit le 28/06/2018 à 13:32 :
Ou sont les politiques qui ont fait voter cette loi?
Ils devraient être en train d'expliquer comment on fait et pourquoi ils ont foutu un bordel pareil.
Mais evidement ca ne sera pas le cas et on continuera jusqu'à la prochaine loi, qui générera le même chao.
Alez les paris sotn ouvert sur le sujet de la dite loi faite nous rigoler? Conformité des croquettes pour chats, récupération des enfants à l'école??
a écrit le 27/06/2018 à 19:51 :
C'est aussi une bénédiction pour les pseudos consultants en service informatique de tous bords ainsi qu' aux râleurs procéduriers. Un grand bol d'hypocrisie juridique puisque la plupart des usagers vont cocher les cases sans lire un langage trop abscons. Résultat cela ne change pas grand chose si ce n'est des procédures en plus. question subsidiaire donc à qui profite le crime en dehors des hackers?!
Réponse de le 28/06/2018 à 15:30 :
C'est exact. La principale innovation c'est de peser plus sur le portefeuille des GAFA en cas de négligence
a écrit le 27/06/2018 à 11:35 :
Maintenant on s'attaque aux entreprise non conformes aux regles de la CNIL. La France ce pays devenu un enfer pour celui qui travaille.
a écrit le 27/06/2018 à 11:25 :
Peut être que la technique pour les entreprises : c’est de monter pièces par pièces leur «  ordinateur » et d’installer l’exploitation et bloquer toutes les brèches inimaginables avant connections sur réseau , et installer cette fameuse réglementation ...?
un vrai parcours de «  combattant »...

La technologie c’est bien mais comment «  rendre » les humains plus honnêtes et respectueux » de eux- même et des autres ...
c’est aussi un parcours de combattant...
Réponse de le 27/06/2018 à 20:55 :
il faudrait aussi fabriquer leur propre composant pour éviter de se faire hacker par les drivers comme les processeur intel
a écrit le 27/06/2018 à 9:18 :
Soit les entreprises se font racketter par les cybercriminels, ou elles se font plumer par les sociétés de sécurité informatique. Choix très cornélien...

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :