Dernières actualités : données personnelles

L’Usine digitale

Un établissement de santé victime d’une fuite de données, 750 000 dossiers de Français dérobés

Un pirate informatique a mis en vente le 19 novembre sur le site de piratage BreachForums des données personnelles sensibles appartenant à 758 912 Français. Il affirme sur le forum avoir dérobé les noms, prénoms, dates de naissance, adresses postales et e-mail et numéros de téléphone des individus. De manière plus inquiétante, il revendique aussi la fuite de certaines données sensibles, comme des prescriptions médicales, le nom du médecin traitant des patients, des déclarations de décès, les historiques de carte de mutuelle et des identifiants externes.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cyberattaque contre Free : La justice ordonne à Telegram de révéler l’identité du pirate

Le tribunal judiciaire de Paris a ordonné à la messagerie Telegram de révéler l’identité du pirate informatique à l’origine d’une demande de rançon à Free, après une cyberattaque ayant provoqué le vol des données de 19,2 millions de clients. L’application doit alors fournir “tous les éléments permettant d’identifier la personne”, soit son identité civile, les adresses IP recueillies et le numéro de téléphone utilisé pour la création du compte. D’après Free et Free Mobile, un cybercriminel dénommé “[Z] [L]” a adressé trois messages le 21 octobre sur la plateforme interne dédiée à la protection des données personnelles, ainsi qu’un quatrième au “président du groupe Iliad” (Xavier Niel) via Telegram. Le pirate informatique affirmait alors avoir les données en sa possession, menaçait de “les utiliser frauduleusement” et exigeait une rançon de 10 millions d’euros en cryptomonnaies.

Disponible sur: usine-digitale.fr

Numerama – Cyberguerre

Free victime d’une cyberattaque : pourquoi la fuite des IBAN menace la sécurité de vos comptes bancaires

L’opérateur Free a informé une grande partie de ses abonnés, via un nouvel email envoyé ce 28 octobre, que la fuite de données contenait d’autres informations cruciales. L’entreprise a indiqué qu’en plus des noms, prénoms, dates et lieux de naissance, numéros de téléphone, identifiants abonnés, le hacker a aussi récupéré des données bancaires. Concrètement, ce sont les IBAN des clients de la box Free qui ont été mis en ligne par le pirate. 5,3 millions de personnes seraient concernées.

Disponible sur: numerama.com

L’Usine digitale

Cybersécurité : L’auto-école en ligne Ornikar victime d’une fuite de données personnelles

Ornikar, start-up française spécialisée dans la révision du code en ligne et dans la réservation de cours de conduite pour passer le permis, a averti le 24 octobre ses clients d’une « intrusion externe dans [son] système d’information ». Une cyberattaque qui a laissé fuité de nombreuses données personnelles, dont les noms, prénoms et dates de naissance de ses clients, mais aussi leurs adresses e-mail, leurs numéros de téléphone et leurs adresses postales. La plateforme précise que les « données bancaires et mots de passe n’ont pas été compromis lors de cet incident ».

Disponible sur: usine-digitale.fr

Le Monde

Ledger, entreprise de cryptoactifs, sanctionnée par la CNIL pour insuffisance de protection des données

L’entreprise française de sécurisation de cryptoactifs Ledger a été sanctionnée par la Commission nationale de l’informatique et des libertés (CNIL) pour ne pas avoir suffisamment protégé les données de ses clients, a annoncé, mercredi 23 octobre, le gendarme français de la protection des données personnelles à l’Agence France-Presse (AFP). D’après les médias The Big Whale et La Lettre, qui ont révélé l’information, le montant de l’amende infligée s’élève à 750 000 euros. La CNIL n’a pas confirmé ce montant, soulignant que cette sanction n’était « pas publique ».

Disponible (en anglais) sur: lemonde.fr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

Corée: l’autorité sanctionne deux entreprises pour manquement à leurs obligations en matière de sécurité

La Commission de protection des informations personnelles (président Ko Hak-soo, ci-après dénommée « Commission de protection des informations personnelles ») a tenu sa 17e réunion plénière le 23 octobre (mercredi) et a voté l’imposition d’un total de 123,17 millions KRW d’amendes (soit environ 83 000 euros) et de 10,8 millions KRW (soit environ 7000 euros) de pénalités à deux entreprises* qui ont violé la loi sur la protection des informations personnelles.

* La première est Neo Pharm, un  exploitant d’un site web de centre commercial en ligne vendant des produits cosmétiques, etc. L’enquête a révélé que le pirate informatique a accédé à la page de l’administrateur Web du centre commercial exploité par Neopharm grâce aux informations du compte de l’administrateur du centre commercial obtenues à l’avance et a volé les informations personnelles des 293 723 membres du centre commercial. En particulier, le pirate informatique a accédé à la page de l’administrateur Web du centre commercial plus de 750 fois sur une période d’environ deux semaines, du 23 août au 5 août, a consulté et téléchargé des informations sur les membres et a envoyé environ 440 000 messages illégaux.

* La seconde est Ilhak Ltd., il s’agit d’un centre commercial qui a a fait l’objet d’une attaque d’insertion SQL par un pirate informatique pendant deux jours à partir du 23 décembre 17, et des informations personnelles ont été divulguées. Le pirate informatique qui a divulgué des informations personnelles a également affiché les informations personnelles de 10 000 personnes sur le tableau d’affichage du centre commercial.

Dans les deux cas,  la PIPC a constaté des lacunes dans la gestion de la sécurité. Par exemple, Neopharm avait négligé la gestion des droits d’accès en n’accordant pas de comptes à chaque gestionnaire d’informations personnelles et en partageant les comptes entre les départements, et qu’elle avait tardé à notifier les utilisateurs dont les informations personnelles avaient fait l’objet d’une fuite

En conséquence, la PIPC a condamné les deux entreprises :
* Neopharm: une amende de 105,17 millions de KRW et une pénalité de 7,2 millions de KRW (soit environ 75 000 euros au total)
* Ilhak: une amende de 15,17 millions de KRW et une pénalité de 7,2 millions de KRW (soit environ 15 000 euros au total)

L’autorité a déclaré que les entreprises qui fournissent des services et traitent des informations personnelles par l’intermédiaire de sites web doivent régulièrement gérer les comptes des gestionnaires d’informations personnelles et vérifier les failles de sécurité lorsqu’elles exploitent des pages d’administrateur web liées aux bases de données des membres, et qu’elles doivent prêter une attention constante aux attaques de vulnérabilité web bien connues, telles que les attaques par injection SQL, et prendre les mesures de sécurité appropriées.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Une faille de sécurité liée aux puces Qualcomm touche des millions de smartphones Android

Le géant américain des semi-conducteurs a annoncé qu’une vulnérabilité critique affectait ses processeurs et qu’elle était activement exploitée par des pirates informatiques. 64 modèles de la firme présentent des failles de sécurité, dont le Snapdragon 8 Gen 1. Qualcomm a depuis publié des correctifs, qui seront efficaces lorsque les équipementiers auront déployé une mise à jour. La faille 0-day, déjà décrite par l’agence américaine de cybersécurité (CISA) et par le NIST, présente un score de sévérité élevé (7,8). Elle est due à une faille “use-after-free”, un problème technique qui se traduit par une mauvaise réinitialisation d’un pointeur suite à une libération de la mémoire. Les pirates informatiques peuvent alors détourner la mémoire pour injecter du code, même s’ils disposent de faibles privilèges.

Disponible sur: usine-digitale.fr

L’Usine digitale

Internet Archive victime d’une cyberattaque, les données de 31 millions d’internautes dans la nature

Internet Archive, bibliothèque numérique consacrée à la sauvegarde du contenu d’Internet, a été victime ces derniers jours d’une fuite de données. Le 9 octobre, les internautes consultant le site piraté ont vu apparaître une fenêtre pop-up faisant état d’un incident de sécurité, ajoutant que les données de 31 millions d’utilisateurs étaient référencées sur “Have I Been Pwned”, ce site web permet à chacun de savoir, à partir de son adresse-mail, si des données ont été piratées et leur provenance. Troy Hunt, fondateur de “Have I Been Pwned”, a affirmé qu’un pirate informatique avait partagé la base de données d’identification d’Internet Archive le 1er octobre, sous la forme d’un fichier SQL de 6,4 gigaoctets intitulé “ia_users.sql”. Cette base de données renferme les adresses e-mail et pseudonymes de 31 millions d’utilisateurs, mais aussi certains mots de passe hachés avec l’algorithme Bcrypt. Les pirates disposent aussi des dates de changements de mots de passe.

Disponible sur: usine-digitale.fr

ICO (autorité anglaise)

Peine de prison avec sursis pour d’anciens employés de RAC pour avoir volé des informations personnelles

Deux anciens employés du RAC ont été condamnés à une peine de prison avec sursis et à 150 heures de travail non rémunéré pour avoir illégalement copié et vendu plus de 29 500 lignes d’informations personnelles.
D. Okparavero, 61 ans, de Salford, et M. Islam, 51 ans, de Manchester, travaillaient comme spécialistes du service clientèle au centre d’appel de l’entreprise « RAC » (proposant des services automobiles) à Stretford. Leur comportement illégal a été découvert par l’entreprise, qui l’a signalé à l’ICO, après l’installation d’un nouveau logiciel de contrôle de la sécurité.

Le logiciel a montré qu’Okparavero avait illégalement accédé à des informations personnelles concernant des personnes impliquées dans des accidents de la route et les avait copiées. Une fouille ultérieure du téléphone portable d’Okaparavero a révélé que les informations avaient été partagées dans une discussion WhatsApp avec Islam. Les messages indiquaient qu’un tiers payait pour obtenir ces informations. En conséquence, lors d’une audience à Minshull Street Crown Court le 8 octobre 2024, Okparavero et Islam ont été condamnés à des peines de prison de 6 mois, suspendues pendant 18 mois, et chacun a reçu l’ordre d’effectuer 150 heures de travail non rémunéré. Les deux accusés avaient précédemment plaidé coupables d’infractions à la loi de 1990 sur l’utilisation abusive des ordinateurs et à la loi de 2018 sur la protection des données. Les frais de poursuite seront examinés lors d’une audience sur les produits du crime prévue le 5 mars 2025.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Le groupe de santé Hospi Grand Ouest victime d’une cyberattaque, des services perturbés

Hospi Grand Ouest, groupe de santé gérant neuf cliniques et centres de soins en Bretagne et Pays de la Loire, a été touché dans la nuit du 3 au 4 octobre par une cyberattaque. La direction du groupe précise que cette attaque informatique s’est cantonnée à la clinique de La Sagesse, à Rennes, qui comprend notamment une maternité et de nombreux services de chirurgie. L’étendue de la cyberattaque n’est, pour l’heure, pas officiellement connue, tout comme sa nature. D’après Ouest-France, les hackers à l’origine de l’attaque auraient toutefois réclamé une rançon le 5 octobre à la direction du groupe, ce qui s’apparenterait alors à une fuite de données.

Disponible sur: usine-digitale.fr

Retour en haut