Peu d’entreprises vérifient l’identité des consommateurs dans le cadre de la protection des données personnelles. Peu s’assurent de la légitimité des demandes…

 

Retrouvez moi au Meetup mise en conformité RGPD GDPR Paris pour en discuter 

 

 

Dans le cadre du GDPR, les consommateurs peuvent exercer leur droit d’accès. Et donc demander copie des données personnelles détenues sur eux. De leur côté, les entreprises devraient s’intéresser à la légitimité de ces demandes. Par conséquent vérifier l’identité des consommateurs. On en serait loin…

Légalement, les consommateurs peuvent exercer ces demandes verbalement ou par écrit. Officiellement, les entreprises doivent y répondre dans un délai maximum d’un mois. En règle générale, les entreprises n’ont pas le droit de facturer les frais relatifs au traitement de ces demandes.

«Si les avantages de ce droit d’accès pour les consommateurs sont évidents, les entreprises, en revanche, oublient régulièrement de s’assurer que ces demandes d’accès sont légitimes. Ce qui crée une nouvelle menace pour la sécurité des données personnelles», estime Arnaud Gallut, South EMEA Sales Director .

 

Des données trop facilement délivrées

 

James Pavur, étudiant en PhD à la Oxford University, a démontré lors de la récente conférence Black Hat à Las Vegas, que les entreprises étaient peu regardantes. James Pavur a ainsi envoyé 150 demandes d’accès GDPR à des entreprises non pas en son nom, mais en celui de sa fiancée. Résultat : près de trois entreprises sur quatre ont répondu à ces demandes; 83 d’entre elles ont répondu qu’elles détenaient des données liées à sa fiancée. Parmi celles-ci, près d’un quart lui ont fourni ces données après réception d’une simple adresse e-mail ou d’un numéro de téléphone à fin de vérification d’identité. 16% d’entre elles ont accepté des documents d’identité qui auraient pu être facilement falsifiées.

 b

«Plus inquiétant, James Pavur a même pu obtenir des informations sensibles sur sa fiancée sans aucune vérification d’identité, poursuit Arnaud Gallut. Dans un cas, il a reçu le numéro de sécurité sociale de sa fiancée sans avoir eu à fournir le moindre document d’identité. Globalement, dans 60 % des cas dans lesquels James Pavur a reçu des données de la part d’une entreprise, ces données auraient pu avoir une utilité plausible pour un acteur malveillant. Et dans 15 % des cas, ces données auraient pu avoir une utilité évidente pour ces mêmes acteurs.»

 

Une arme pour voler des données

 

James Pavur a également pu montrer comment des données transmises par des entreprises différentes auraient pu être combinées par des pirates. Les pentests réalisés par LGHM le confirment. Par exemple, sur la base de multiples demandes d’accès, il a été capable d’obtenir dix chiffres du numéro de carte de crédit de sa fiancée, la date d’expiration de la carte ainsi que le nom et le code postal de la banque d’émission. Autre élément intéressant, sur la base d’une demande GDPR adressée à un spécialiste du renseignement sur les menaces, il a été capable d’obtenir des noms d’utilisateur et mots de passe piratés associés à sa fiancée, certains d’entre eux étant toujours utilisés par elle pour d’autres services en ligne, dont une application bancaire.

Clairement, les demandes d’accès créent un risque nouveau et précédemment peu identifié pour les entreprises. «Même si la conformité au règlement GDPR a recueilli toute l’attention de la plupart des entreprises, l’absence d’un standard sur ce que constitue une vérification d’identité raisonnable génère une nouvelle vulnérabilité, regrette Arnaud Gallut. Cela donne à des acteurs malveillants la capacité de transformer une loi de protection de la vie privée en une arme pour voler des données personnelles souvent avec de l'injection javascript.»

 

Une configuration idéale pour attaquer

 

Alors que les petites et moyennes entreprises ont eu le plus de difficultés à se préparer au GDPR, ce sont également elles qui sont les plus vulnérables aux abus liés aux demandes d’accès. Selon James Pavur, les grandes entreprises à qui il a envoyé des demandes «ont globalement bien réagi». En revanche, les organisations non gouvernementales et les PME ont été responsables de 70 % des demandes traitées sans vérification d’identité suffisante.

«Ceci peut suggérer qu’il existe pour les attaquants une configuration idéale. Ceux-ci ciblent des organisations suffisamment grandes pour être sensibles et concernées par le GDPR, mais d’une taille suffisamment faible pour ne pas avoir dédié de ressources suffisantes au respect de la conformité» ajoute Arnaud Gallut.

En raison des risques potentiels élevés que pose la divulgation de données personnelles à des acteurs malveillants, les entreprises de toutes tailles doivent désormais s’attacher en priorité à sécuriser les demandes d’accès. «Même si le règlement GDPR ne prescrit pas d’exigences spécifiques concernant la vérification d’identité, les entreprises doivent créer des règles et procédures standard pour traiter ces demandes.»  

 

 

 

Prévenir les demandes d’accès suspects

 

Dans ce cadre, les entreprises pourraient commencer par adopter des procédures de bon sens. Ainsi, elles pourraient demander aux consommateurs de se connecter à des comptes connus pour être associés à eux, conseille Arnaud Gallut. Elles pourraient aussi, en cas d’impossibilité, leur demander de fournir une copie de documents d’identité officiels.

 

Par ailleurs, il est impératif de créer des politiques conçues pour prévenir toute fuite de données résultant de demandes d’accès suspects, telles celles ayant pour origine des adresses e-mail non directement associées au demandeur.

 

«En prenant ces mesures immédiatement, les entreprises peuvent réduire leur vulnérabilité. Et, ce faisant, s’assurer que l’objectif du règlement GDPR n’est pas compromis par des efforts visant à sa mise en application», conclut Arnaud Gallut.