Photo by Christian Wiediger on Unsplash

Quand le GDPR sert d’outil de piratage de données par ingénierie sociale

L’Europe adoptait l’an dernier un règlement draconien en matière de protection des renseignements personnels, le Règlement général sur la protection des données, qu’en anglais on nomme «GDRP» suivant son acronyme. Or, un étudiant a découvert qu’il est souvent possible de mettre le grappin sur les renseignements d’un tiers en invoquant le GDPR, en contactant simplement des entreprises désireuses de s’y conformer. La conclusion : pourquoi pirater les serveurs d’une entreprise quand on peut se contenter de simplement demander l’information recherchée?

On rapporte en effet que James Pavur, un étudiant d’Oxford, signalait lors d’un colloque de hacking (Black Hat USA) la semaine dernière qu’il était parvenu à obtenir toutes les données que détenaient une série d’entreprises quant à un autre individu, simplement en les demandant, sans beaucoup plus. L’attaque, si on peut l’appeler ainsi, passe par un simple message à une entreprise, dans lequel on se fait passer pour un individu, en demandant de voir «nos» données qu’elle détient. L’entreprise a alors trente (30) jours pour nous répondre, en principe, en fournissant le lot de données.

Le GDPR ne prévoit aucune règle quant à la manière dont l’entreprise doit alors confirmer notre identité avant d’obtempérer. Pour la loi, l’important est que les entreprises soient tenues de nous fournir les données qu’elles détiennent sur nous dès qu’on le demande. Le but est donc louable, certes.

Devant un délai aussi court que trente jours cependant, en pratique, il semble que nombre d’entreprises (près du quart des 150 que l’étudiant a contactées) se limitent, afin d’identifier le requérant, à lui demander de fournir une adresse de courriel et un numéro de téléphone. D’autres fournissent l’information en se satisfaisant d’informations et de documents très faciles à falsifier. Dans un autre exemple, une société aurait accepté l’image d’une enveloppe usagée adressée à l’individu en question comme preuve d’identité. Bref, il y a visiblement pour l’instant un problème lié à la faiblesse des protocoles utilisés par nombre d’entreprises quant à la façon de confirmer l’identité des individus liés à ce genre de demande.

Le problème, c’est entre autres que lors d’une telle demande, c’est en principe 100% des renseignements qu’elle détient sur l’individu qu’une entreprise doit fournir. Cela veut dire tout, tout, tout, incluant par exemple le numéro d’assurance sociale si elle le détient. C’est donc un superbe moyen de mettre la main sur un grand lot de données touchant un individu ciblé, risque auquel on semble avoir peu réfléchi.

Cet exercice démontre à quel point la difficulté d’identification et d’authentification des individus pose encore problème. Bien que les lois comme le GDRP soient de bons outils pour régir adéquatement la détention de renseignements personnels par les entreprises, il faut avouer qu’en pratique, nous sommes visiblement globalement peu préparés à faire face adéquatement à ce que cela implique.

La conclusion : les entreprises devraient être prêtes à refuser des demandes d’accès présentées en vertu de lois comme le GDPR à moins d’obtenir des preuves réellement adéquates de l’identité de l’individu visé par une telle demande. Jusque-là, le GDRP demeure un vecteur de risque pour les personnes.