Photo by Christian Wiediger on Unsplash

Quand GDPR sert d’outil de piratage de données par ingénierie sociale

L’Europe adoptant l’an dernier un règlement draconien en matière de protection des renseignements personnels, le Règlement général sur la protection des données, qu’en anglais on surnomme «GDRP» de son acronyme. Or, un étudiant a découvert qu’il s’avère souvent possible de mettre le grappin sur les renseignements d’un tiers en invoquant GDPR, en contactant simplement des entreprises désireuses de s’y conformer. La conclusion : pourquoi pirater les serveurs d’une entreprise quand on peut se contenter de simplement demander l’information recherchée?

On rapporte en effet que James Pavur, un étudiant d’Oxford, rapportait à une conférence de hacking (Black Hat USA) la semaine dernière qu’il était parvenu à obtenir toutes les données que détenaient une série d’entreprise quant à un autre individu, simplement en les demandant, sans beaucoup plus. L’attaque, si on peut l’appeler ainsi, passe par un simple message à une entreprise, dans lequel on se fait passer pour un individu, en demandant à voir «nos» données qu’elle détient. L’entreprise a alors trente (30) jours pour nous répondre en principe, en fournissant le lot de données.

Le GDPR ne prévoit aucune règle quant à comment l’entreprise doit alors nous identifier avant d’obtempérer. Pour la loi, l’important est que les entreprises soient tenues de nous fournir les données qu’elle détient sur nous dès qu’on le demande. Le but s’avère donc louable, certes.

Devant un délai si court de trente jours cependant, en pratique, il semble que nombre d’entreprises (près du quart des 150 qu’il a contacté) se limitent, afin d’identifier le requérant, à demander de leur fournir une adresse de courriel et un numéro de téléphone. D’autres fournissent l’information en se satisfaisant d’information et de documents très faciles à falsifier. Dans un autre exemple, une société aurait accepté l’image d’une enveloppe usagée adressée à l’individu en question comme preuve d’identité. Bref, il y a visiblement pour l’instant un problème lié à la faiblesse des protocoles utilisés par nombre d’entreprises quant à la façon d’identifier les individus liés à ce genre de demande.

Le problème c’est entre autres que lors d’une telle demande, c’est en principe 100% des renseignements qu’elle détient sur l’individu qu’elle doit fournir. Cela veut dire tout, tout, tout, incluant par exemple son numéro d’assurance sociale si elle détient, etc. C’est donc un superbe moyen de mettre la main sur un grand lot de données touchant un individu ciblé, risque auquel on semble avoir peu réfléchit.

Cet exercice démontre à quel point la difficulté d’identification et d’authentification des individus demeure un problème. Bien que les lois comme le GDRP s’avèrent de bons outils afin de régir adéquatement la détention de renseignements personnels par les entreprises, il faut avouer qu’en pratique nous sommes visiblement globalement peu préparés à faire face adéquatement à ce que cela implique en pratique.

La conclusion : les entreprises devraient être prêtes à refuser des demandes d’accès présentées en vertu de lois comme le GDPR, à moins d’obtenir des preuves réellement adéquates de l’identité de l’individu visé par une telle demande. Jusque-là, le GDRP demeure un vecteur de risque pour les individus.