Dernières actualités : données personnelles

L’Usine digitale

Cybersécurité : Free alerte ses abonnés sur une fuite de données personnelles

L’opérateur Free a envoyé le 2 octobre un e-mail à certains de ses abonnés Freebox, les informant d’une possible fuite de données personnelles. “Nous avons constaté une consultation de vos données personnelles pouvant mener à une perte de confidentialité de certaines de vos informations : nom, prénom, numéro de téléphone, adresse postale”, écrit la filiale du groupe Iliad. Elle affirme toutefois que les mots de passe et coordonnées bancaires ne sont pas concernés par cette fuite de données. L’étendue de la violation de données personnelles n’est pas encore connue, tout comme l’origine de la fuite.

Disponible sur: usine-digitale.fr

ICO (autorité anglaise)

Les mauvaises procédures de la PSNI aboutissent à une amende de 750 000 £ (environ 900 000 euros)

Dans un communiqué publié ce jour, l’ICO annonce avoir infligé une amende de 750 000 £ au Service de police d’Irlande du Nord (PSNI) pour avoir exposé les informations personnelles de l’ensemble de son personnel, laissant de nombreuses personnes craindre pour leur sécurité. En effet, le 3 août 2023, le PSNI a reçu deux demandes d’accès à l’information de la part de la même personne via WhatDoTheyKnow (WDTK). La première demande « … le nombre d’officiers à chaque rang et le nombre d’employés à chaque grade… », la seconde demande une distinction entre « combien sont substantifs / temporaires / intérimaires… ». Les informations ont été téléchargées sous forme de fichier Excel avec une seule feuille de calcul à partir du système de gestion des ressources humaines (SAP) du PSNI. Les données comprenaient : les noms et les initiales des prénoms, la fonction, le grade, le département, le lieu du poste, le type de contrat, le sexe et le numéro de service et de personnel du PSNI.

Comme les informations ont été analysées en vue de leur divulgation, plusieurs autres feuilles de calcul ont été créées dans le fichier Excel téléchargé. Une fois l’analyse terminée, tous les onglets visibles à l’écran ont été supprimés du fichier Excel afin de ne garder que les résultats. La feuille de calcul originale, qui contenait les données personnelles a été oubliée et est restée sur le fichier, qui a été téléchargé sur le site web du WDTK à 14h31 le 8 août.
Le PSNI a été alerté de la violation par ses propres agents vers 16h10 le même jour. Le fichier a été caché par WDTK à 16 h 51 et supprimé du site web à 17 h 27. Six jours plus tard, le PSNI a annoncé qu’il partait du principe que le fichier était entre les mains de républicains dissidents et qu’il serait utilisé pour créer de la peur et de l’incertitude et à des fins d’intimidation.

L’enquête de l’autorité a révélé que des procédures simples à mettre en œuvre auraient pu empêcher cette grave violation, dans laquelle des données cachées sur une feuille de calcul publiée dans le cadre d’une demande de liberté d’information ont révélé les noms de famille, les initiales, les grades et les rôles de l’ensemble des 9 483 officiers et membres du personnel du PSNI. L’ICO précise qu’elle est consciente de la situation financière actuelle du PSNI et ne souhaitant pas détourner l’argent public de ses objectifs, le commissaire a fait usage de son pouvoir discrétionnaire pour appliquer l’approche du secteur public dans cette affaire. Si cette approche n’avait pas été appliquée, l’amende aurait été de 5,6 millions de livres sterling (soit 6,6 millions d’euros).

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

Selon l’autorité finlandaise, la sécurité n’est pas un motif justifiant de transmettre les données au format papier plutôt qu’électronique

Dans un communiqué publié ce jour, l’autorité finlandaise déclaré que les données d’abonnement de téléphonie mobile peuvent constituer des données personnelles et sont donc soumises au règlement sur la protection des données. Cette déclaration fait suite à une décision prise concernant le comportement d’un opérateur de téléphonie mobile, suite à une plainte.

La personne concernée avait demandé l’accès à toutes les données relatives à l’utilisation de son abonnement de téléphonie mobile. Elle avait notamment demandé les heures de début et de fin des appels, les destinataires des appels, les données de localisation, les données de renvoi d’appel et d’autres données techniques, et précisant qu’elle souhaitait recevoir ces informations par voie électronique. Néanmoins, l’opérateur de téléphonie mobile n’a fourni qu’une partie des informations demandées par la personne, principalement sur papier et par courrier. Certaines des informations demandées pouvaient être téléchargées à partir du libre-service électronique de l’opérateur.

A la suite de son enquête, l’autorité a ainsi estimé que l’opérateur de téléphonie mobile avait enfreint la législation sur la protection des données en ne fournissant pas les informations par voie électronique malgré la demande. L’opérateur mobile a justifié ses actions, entre autres, par des problèmes de sécurité et par le fait qu’il ne pouvait pas être sûr que l’adresse électronique appartenait à la personne qui avait fait la demande. L’autorité a souligné que les informations auraient pu être envoyées par la poste, par exemple sur une clé USB plutôt que sur papier. Elle a, en conséquence, a adressé un avertissement à l’opérateur de téléphonie mobile.

La décision a également soulevé la question de la qualification des données relatives au trafic (comprenant notamment l’adresse IP, les CDR (« call detail record ») ou encore les informations de la station radio) et de savoir si elles peuvent être considérées comme des données personnelles. L’autorité a sobrement indiqué que cela pouvait être le cas (notamment s’agissant des adresses IP, numéros de téléphone, etc.) mais que cette question est à examiner au cas par cas, et que cela n’a pas été évalué dans ce cas précis car le plaignant n’aurait pas été suffisamment précis.

En fin d’article, l’autorité précise enfin que la décision n’est pas encore définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Cybermoi/s 2024 : un mois pour tous devenir #CyberEngagés

Créé en 2012, le Mois européen de la cybersécurité (European Cybersecurity Month – ECSM) est une initiative conçue par l’Agence de l’Union européenne pour la cybersécurité (ENISA). Elle vise à promouvoir la cybersécurité dans tous les pays de l’UE pour permettre de mieux comprendre les menaces et les appréhender. En France, le Mois européen de la cybersécurité a été décliné en « Cybermoi/s » et est piloté par le dispositif national Cybermalveillance.gouv.fr qui a pour missions la sensibilisation, la prévention et l’assistance aux victimes d’actes de cybermalveillance.

Tout au long du mois d’octobre 2024, des activités vont être organisées en France et en Europe autour des enjeux de cybersécurité : événement de lancement, événements de sensibilisation, campagnes vidéo… Comme chaque année, un panel d’acteurs publics, privés et associatifs se mobiliseront pour proposer un programme de sensibilisation pédagogique à destination de tous les publics et ainsi développer une culture européenne cyber commune.

Disponible sur: CNIL.fr

L’Usine digitale

Le courtier Meilleurtaux victime d’une cyberattaque, des données sensibles exposées

Meilleurtaux, société française spécialisée dans le courtage en produits financiers, notamment en crédit immobilier et à la consommation, a prévenu le 27 septembre ses clients d’une fuite de données personnelles. “Nous avons détecté une attaque externes sur nos systèmes informatiques à laquelle nous avons mis fin rapidement”, explique le courtier en ligne dans un e-mail. L’entreprise précise que “certaines données personnelles” ont été exposées, à savoir les noms et prénoms des clients, leurs coordonnées postales et téléphoniques, leurs dates et pays de naissance et leur situation familiale. La fuite de données comprend aussi des informations bien plus sensibles, comme le montant des revenus de ses clients et leur situation professionnelle.

Disponible sur: usine-digitale.fr

Numerama – Cyberguerre

Un trésor pour les cybercriminels : 95 millions de données de Français reposent sur un serveur ouvert

68 millions de Français, 95 millions de lignes de données. Une immense base de données de plusieurs enseignes françaises repose actuellement sur un serveur de ElasticSearch, un moteur de recherche sur les données pour professionnel contenant parfois des informations illégales. Selon une étude publiée le 25 septembre par le média Cybernews et le chercheur Bob Dyachenko à la tête de SecurityDiscovery.com, ce serait « un trésor pour les cybercriminels ».

Notez que si le nombre de lignes est supérieur à celui de la population française, c’est parce que ces fichiers contiennent souvent plusieurs types d’informations : email, adresse, numéro de téléphone, etc.

Le dossier, d’une taille totale de 30,1 Go, contient de nombreux fichiers, principalement liés à de précédentes cyberattaques. « Il est probable qu’un cybercriminel ait réuni l’ensemble des données issues de violations de grandes entreprises et services bien connus » déclarent les chercheurs.

Disponible sur: numerama.com

Numerama – Cyberguerre

Telegram : Pavel Durov s’engage à livrer les adresses IP aux autorités en cas de délit

pavel durov

La sulfureuse application mobile Telegram fait volte-face sur la modération. Depuis l’arrestation de Pavel Durov, plusieurs changements ont été annoncés. Désormais, « les adresses IP et les numéros de téléphone de celles et ceux qui enfreignent les règles [de l’application] peuvent être divulgués aux autorités compétentes en réponse à des demandes légales valides », a-t-il prévenu. Cette règle, qui vise à « dissuader davantage les criminels d’abuser » de l’application, s’applique dans le monde entier.

Disponible sur: numerama.com

L’Usine digitale

Cybersécurité : SFR touché par une fuite de données exposant les IBAN de ses clients

SFR a annoncé le 19 septembre avoir été victime d’un “incident de sécurité” dans les systèmes de sa filiale low-cost RED, entraînant une fuite de données personnelles. Dans un e-mail envoyé aux clients concernés, RED indique qu’il s’agit “exclusivement” des noms, prénoms, numéros de téléphone et adresses, mais aussi, plus grave, de données sensibles comme les IBAN et numéros de terminaux et de cartes SIM. L’incident a impacté un outil de gestion des commandes, et a été détecté le 3 septembre avant d’être corrigé dans la journée. On ignore, pour l’heure, le nombre de clients dont les données ont été subtilisées. Les clients impactés seraient ceux ayant récemment commandé un smartphone ou souscrit à un forfait chez RED.

Disponible sur: usine-digitale.fr

L’Usine digitale

L’Assurance retraite touchée par une fuite de données, 370 000 bénéficiaires concernés

Après Boulanger, Cultura ou encore Truffaut, c’est au tour de la Caisse nationale d’assurance vieillesse d’être victime d’une fuite de données, via un portail destiné aux prestataires de l’action sociale des retraités. D’après l’organisme, les pirates informatiques se sont emparés des adresses et numéros de sécurité sociale de 370 000 bénéficiaires. L’Assurance retraite a en effet annoncé ce 13 septembre dans un communiqué avoir été la cible d’une fuite de données à travers le Portail partenaires de l’action sociale (PPAS), qui gère la facturation des prestataires de l’action sociale des retraités. “Des données personnelles (adresses, numéros de Sécurité sociale, montant approximatif des ressources) relatives à 370 000 bénéficiaires environ ont été compromises”, explique la Caisse nationale d’assurance vieillesse (Cnav).

La Cnav précise que les données personnelles subtilisées sont “pour la plupart anciennes”, ajoutant que certaines personnes concernées sont décédées. Elle insiste sur le fait qu’aucune donnée bancaire, ou relative au paiement, à la retraite ou à la carrière n’a été volée. Les pirates informatiques se sont introduits dans les systèmes en usurpant des comptes de prestataires utilisant le portail. À l’heure où nous écrivons ces lignes, le portail PPAS est toujours inaccessible, renvoyant sur une page de maintenance.

Disponible sur: usine-digitale.fr

DPC (autorité irlandaise)

la DPC lance une enquête sur le modèle d’IA de Google

La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle avait ouvert une enquête statutaire transfrontalière sur Google Ireland Limited (Google) en vertu de l’article 110 de la loi sur la protection des données de 2018. L’enquête statutaire porte sur la question de savoir si Google a respecté les obligations qu’elle pouvait avoir de procéder à une évaluation, conformément à l’article 35 du règlement général sur la protection des données (évaluation d’impact sur la protection des données), avant de s’engager dans le traitement des données personnelles des personnes concernées de l’UE/EEE associées au développement de son modèle d’IA fondamental, Pathways Language Model 2 (PaLM 2).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut