Forum

Reprise du message précédent

vouf :

On pense trop souvent à des failles de sécurité exploitées pour la fuite de données... Mais dans beaucoup de cas, cela peut être une ressource de l'entreprise ou un sous traitant qui a accès aux données qui divulguent ce type d'information...

Si c'est le cas c'est dommage!

C'est Reef, c'est la mère à Michel qui a donné ses codes !!

vouf :

Bonjour

On pense trop souvent à des failles de sécurité exploitées pour la fuite de données... Mais dans beaucoup de cas, cela peut être une ressource de l'entreprise ou un sous traitant qui a accès aux données qui divulguent ce type d'information...

Il est quand même surprenant que ces données ne soient pas chiffrées.

vigen :

vouf :

Bonjour

On pense trop souvent à des failles de sécurité exploitées pour la fuite de données... Mais dans beaucoup de cas, cela peut être une ressource de l'entreprise ou un sous traitant qui a accès aux données qui divulguent ce type d'information...

Il est quand même surprenant que ces données ne soient pas chiffrées.

Pour que les systèmes fonctionnent (facturation par exemple), il faut bien les avoir en clair un moment… constament.
Les disques sont peut-être chiffrés, mais une fois démarré, il faut déchiffrer pour : ajouter un client, supprimer un client, changer d'abonnement, … constament (avec 20milions d'entrés).
Chiffrer les disques devient une perte de temps car une fois connecté en root, c'est déchiffré.

Si au lieu des disques, nous chiffrons la base de donnée ? Ça revient au même, un moment, il faut déchiffrer, tellement souvent, ou garder le fichier déchiffré le temps des opérations, dons constament… et de nouveau, une fois qu'on y a accès, c'est inutile.

Si au lieu de chiffrer le fichier on chiffre les entrées avec une clef différente par entré ? 20 millions d'opération de déchiffrement par mois pour la facturation ? Ça fait 8 opérationt par secondes se c'est fait h24 réparti sur tout le mois. Et gérer autant de clef, il faut soit un algorithme pour calculer la clef, et il suffit de lire l'algo pour récupérer les clefs, soit une BDD pour les stocker, et la aussi, elle peut fuiter… donc c'est inutile.

Le chiffrement est bien contre le vol physique du support. Une fois le support connecté, qu'il soit chiffré ou non, c'est lisible et c'est l'accès qui est à protéger.

De plus, on ne sait pas comment ça a fuité, une API en ligne depuis une URL ? Un accès physigue au serveur ? Un compte root avec ssh ? Ce que le crasher vend n'est pas "la" base de donnée, mais "une" base de donnée, qui peut aussi très bien être la base originale, ou la base originale déchiffrée, ou une base reconstruite à partir de l'aggrégation de résultat de requêtes, ou l'aggrégation de plusieurs bases ou compilation…

Je dirais que c'est surprenant d'avoir autant de données…
À quoi leur sert la civilité, la date de naissance, le lieu de naissance ? C'est a mon avis une donnée qui ne sert à rien. Et ils sont coupable d'avoir demandé des données spolémentaires inutiles.

Jybz :

Je dirais que c'est surprenant d'avoir autant de données…
À quoi leur sert la civilité, la date de naissance, le lieu de naissance ? C'est a mon avis une donnée qui ne sert à rien. Et ils sont coupable d'avoir demandé des données spolémentaires inutiles.

Enfin, par rapport au volume de client, ont parle potentiellement de 80% des clients impactés !

D'ailleurs, Free pour l'instant ne dit mot.

Il envoi des courriers aux clients touchés car c'est une obligation légale.

Je ne les trouvent pas vraiment "francs du collier" sur ce coup là. Surtout que ce n'est pas la première fois.

Pour reprendre l'exemple du chiffrement, chez mon prestataire cloud, les données sont chiffrées au repos sur leurs serveurs (ce que peu de prestataire font ! ), et la connexion entre mon compte et mon navigateurs est chiffrée également. Le chiffrement est effectué via mon mot de passe, donc même mon prestataire ne peut avoir accès à me données. Donc même un accès non autorisé chez mon fournisseur ne donnerait pas grand chose à l'attaquant car il aurait des données chiffrées. C'est ce que j'entendais par chiffrement.

Je comprend les contraintes pour une entreprise, mais je pense que le recours à la sous-traitance massive à ces limites.

Edit: D'ailleurs il y'a deux ans, Free à prit une amende pour certains manquements.

https://www.cnil.fr/fr/securite-des-donnees-et-droits-des-personnes-sanction-de-300-000-euros-lencontre-de-la-societe-free

Entre autre :
"Un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), puisque :

le mot de passe généré lors de la création d’un compte utilisateur sur le site web de la société, lors d’une procédure de récupération ou lors d’un renouvellement du mot de passe était insuffisamment robuste ;
l’ensemble des mots de passe générés lors de la création d’un compte utilisateur sur le site web de la société était stocké en clair dans la base de données des abonnés de la société ;
les mots de passe des utilisateurs étaient transmis par la société par courriel ou courrier postal, en clair, aux utilisateurs lors de la création de leur compte sur le site web, sans que ces mots de passe ne soient temporaires et que la société impose d’en changer. De même, le mot de passe qui était associé au compte de messagerie électronique « free.fr » était transmis par la société par courriel ou courrier postal à l’utilisateur et indiqué en clair dans le corps du message ;
les mesures techniques et organisationnelles du processus de reconditionnement n’ont pas permis d’éviter qu’environ 4 100 boîtiers « Freebox » détenus par d’anciens abonnés soient réattribués à de nouveaux clients sans que les données de ces anciens abonnés qui y auraient été stockées aient été correctement effacées. Ces données pouvaient être des photos, des vidéos personnelles ou l’enregistrement des programmes de télévision."

Édité par vigen Le 27/10/2024 à 18h29

Mail recu ce matin :
Cette attaque a entrainé un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, numéro de téléphone, identifiant abonné, IBAN et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non).

Rien d'étonnant, malheureusement, comme je le disais environ 80% de la base de données clients à fuitée :(

Même si il est indiqué que les mots de passe ne sont pas impactés, le bon sens veut de les changer....

L'IBAN, par exemple, est le type de donnée dont je ne comprend pas qu'elle ne soit pas chiffrée. Le service client ,'as pas besoin au quotidien d'éditer des IBAN ^^

Il semblerait que ce soit l'outil de gestion qui fut visé....Comme SFR d'ailleurs.

Édité par vigen Le 28/10/2024 à 09h05

vigen :

L'IBAN, par exemple, est le type de donnée dont je ne comprend pas qu'elle ne soit pas chiffrée. Le service client ,'as pas besoin au quotidien d'éditer des IBAN ^^

Et comment faire payer les abonnement sans IBAN ? Je ne sais pas comment ça fonctionne, ni si c'est possible de continuer le service sans conserver les IBAN.

Si vous avez des info technique sur la gestion de paie, je suis preneur.

https://www.bfmtv.com/tech/vie-numerique/piratage-de-sfr-que-risquez-vous-si-votre-rib-ou-votre-iban-a-ete-derobe_AV-202409200533.html

Jybz :

vigen :

L'IBAN, par exemple, est le type de donnée dont je ne comprend pas qu'elle ne soit pas chiffrée. Le service client ,'as pas besoin au quotidien d'éditer des IBAN ^^

Et comment faire payer les abonnement sans IBAN ? Je ne sais pas comment ça fonctionne, ni si c'est possible de continuer le service sans conserver les IBAN.

Si vous avez des info technique sur la gestion de paie, je suis preneur.

L'IBAN n'est nécessaire qu'une seule fois, pour la mise en place de l'autorisation de prélèvement. Une fois celle-ci faite, il n'y en a plus besoin. Il est normal de le garder car il peut servir à nouveau (réclamation, changement de coordonnées bancaires...). Par contre, l'opérateur n'a pas besoin d'y accéder en opérations courantes. Techniquement, les prélèvements sont des opérations de banque à banque. Une fois que la banque de Free sait qu'elle doit faire un prélèvement tous les mois, l'opérateur n'en a plus besoin.

Seul l'IBAN n'est pas une donnée personnelle. En effet, c'est un identifiant public du compte.

De Mathilde Saliou dans Next, une citation (01/02/2023) :

Toucher aux sous devrait convaincre que l'usurpation d'identité est un problème sérieux.
Mais la banque est responsable, vous avez 13 mois pour réagir (même article) :


Et ce qui ne manque pas de sel, c'est l'entête du mail de la mise en garde de Free :

Restez vigilant et ne communiquez jamais vos informations personnelles

Meuz :

Et ce qui ne manque pas de sel, c'est l'entête du mail de la mise en garde de Free :

Restez vigilant et ne communiquez jamais vos informations personnelles

Ah oui

IBAN errants, un complément d'infos.

c'est malheureusement le prix du pas chère

Il y a aussi le risque de virement sur votre compte bancaire puis que l'on vous demande ensuite des informations vu que l'on vous a déjà payé. Il faut donc vérifier aussi les opérations frauduleuses en positif sur votre compte.