La CNIL a constaté plusieurs violations de données personnelles concernant des organismes connus du grand public ces dernières semaines, comme celle ayant touché l’entreprise FREE récemment. Usurpation d’identité, vol de l’IBAN … quels sont les risques ? Que pouvons-nous faire ?
Qu’est-ce qu’une violation de données ?
Les violations de données personnelles recouvrent notamment les fuites, vols ou pertes de données, que l’origine soit accidentelle ou malveillante. Ces données peuvent, dans certains cas, être revendues sur Internet ou encore être croisées avec celles issues d’autres fuites de données.
Comment savoir si vous en êtes victime ?
Lorsque ces violations sont susceptibles d’engendrer un risque élevé pour les personnes, les organismes doivent en principe informer directement les personnes concernées en mentionnant notamment les mesures prises pour remédier à ou atténuer les conséquences de la violation.
Si vous avez reçu un tel message, la vigilance est de mise dans les prochains jours, mais aussi et surtout à plus long terme, en adoptant les réflexes essentiels.
La CNIL n’est pas en mesure de vous informer ou de vous confirmer la présence de vos données parmi celles ayant fait l’objet d’une violation. Vous pouvez en revanche interroger l’organisme responsable sur ce point.
Quels sont les risques et que pouvez-vous faire pour vous protéger ?
Les risques vont souvent dépendre de la nature des informations dérobées.
L’exploitation frauduleuse d’IBAN (coordonnées bancaires)
L’IBAN est un identifiant bancaire que vous avez utilisé pour payer un abonnement ou un service.
Cet identifiant peut dans certains cas permettre à un pirate d’émettre des ordres de prélèvement illégitimes qui ciblent les IBAN obtenus frauduleusement. Le pirate peut aussi, plus directement, usurper l’IBAN d’une autre personne en les communiquant lors de la création d’un mandat de prélèvement dans le cadre d’une souscription à un service.
L’usurpation d’identité
Si vous pensez être victime d’une usurpation d’identité à la suite de la divulgation d’informations vous concernant, vous pouvez :
vous rendre sur le site cybermalveillance.gouv.fr pour obtenir des conseils pour vous prémunir d’usurpation ;
déposer une plainte au plus vite auprès d'un commissariat de police ou de gendarmerie ;
prévenir votre ou vos banques.
Le hameçonnage (phishing)
> Par SMS ou courriel
L’hameçonnage consiste à vous envoyer un courriel, un SMS frauduleux qui vous paraîtra réaliste du fait de l’utilisation de données récupérées grâce à la fuite (par exemple un soi-disant courriel de la sécurité sociale, de votre banque ou de services de livraison de colis par exemple).
N’ouvrez surtout pas les pièces jointes, n’y répondez pas, ne cliquez pas sur les liens de connexion et supprimez le message immédiatement.
> Par téléphone
Certains fraudeurs peuvent se faire passer pour votre conseiller bancaire, en gagnant votre confiance par leur connaissance de vos données personnelles dont votre IBAN, pour que vous effectuiez ou confirmiez une action en urgence, telle qu’un paiement.
Le cas particulier de la fraude à la carte SIM (SIM swapping)
Ce type d’escroquerie repose sur une usurpation d’identité et la manipulation de l’opérateur de téléphonie mobile. Grâce à des données personnelles précédemment volées, le pirate usurpe votre identité auprès de l’opérateur et prétexte la perte ou le vol de votre carte SIM afin d’en obtenir une nouvelle.
Si le pirate parvient à ses fins, il pourra alors recevoir vos SMS, vos appels et surtout les mots de passe à usage unique (OTP) utilisés dans le cadre de la validation de certaines opérations sensibles (par exemple : authentification à des services, validation de virements bancaires). Fort de ces éléments, le pirate pourra se connecter à vos différents environnements numériques et initier des opérations en ligne en usurpant votre identité.
Le RGPD, la CNIL et la cybersécurité
Lorsque des fuites, vols ou pertes de données sont susceptibles d’engendrer un risque pour les personnes concernées, les organismes responsables doivent notifier la violation à la CNIL en lui fournissant des informations sur la nature de la violation, ses conséquences et les mesures prises pour y remédier.
La CNIL donne ainsi un certain nombre de conseils pour se protéger au quotidien et porter plainte en cas de vol de données.
Pour conclure, la CNIL rappelle que la législation sur la protection des données personnelles - le règlement général de protection des données (RGPD) - impose à tous les organismes (entreprises, administrations, associations) d’assurer la sécurité des données personnelles.
Plus d'infos : https://www.cnil.fr/fr/fuite-de-donnees-sur-internet-et-vol-de-votre-iban-comment-vous-proteger-si-vous-etes-concerne
