Par la rédaction


Situation :

Swisscom a annoncé ce matin que des informations personnelles de 800'000 personnes ont été volées en automne 2017. Ces informations n'ont pas été prises par un hack, mais par un partenaire de confiance qui a accès à la base de données.
Ces informations incluent : nom, adresse, numéro de téléphone et date de naissance. Les mots de passe et informations de paiement ne sont pas concernés.

Analyse :

Il y a plusieurs points que je trouve intéressants :

Pourquoi que 800'000? Swisscom a beaucoup plus de clients. Est-ce qu'il s'agit d'un sous-groupe de clients? et si oui, lesquels ?
Car si c'est la liste des mauvais payeurs (par exemple) elle aurait une très grande valeur sur le marché gris/noir (pour une compagnie de demandeur de crédit par exemple…)

Swisscom est une des plus grandes institutions technologiques en Suisse et a une position forte dans la cyber-sécurité. Comment se fait-il qu'ils n'aient pas mis en place un système pour alerter lorsqu'un partenaire accède à un nombre déraisonnable de données dans leur base ? Si habituellement le partenaire regarde 10'000 clients par jour, il devrait y avoir une alerte le jour où 30'000 sont accédées.

Swisscom a eu plusieurs mois pour préparer l'annonce de l'incident ; et Swisscom aurait pu montrer l'exemple en étant transparente sur l'incident et sur les actions prises, mais leur communiqué de presse est très superficiel et peu utile. C'est dommage pour l'image de Swisscom et de la Suisse en général.
Il devrait envoyer un SMS à toutes les personnes concernées pour s'excuser, expliquer ce qu'il s'est passé, expliquer le risque que la victime encourt et donner des recommandations pour diminuer ce risque

Que peuvent faire les criminels avec ces informations ?

Les criminels sont généralement très créatifs pour monétiser des informations volées. Voici quelques idées / exemple :
Envoyer de la pub très ciblée en fonction de l'adresse de la personne par SMS ou télémarketing.
Appeler une personne sur son portable avant de faire un cambriolage pour savoir s'il est en vacances.
Chercher des personnes sur les réseaux sociaux pour ensuite les harceler par téléphone.

Steven Meyer
Partner & CEO
Ing. EPFL, CISSP

ZENData Sarl: https://zendata.ch/fr/

Copyright © Monde Economique - Tous droits réservés