Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Atteinte aux données personnelles : entre acte de malveillance et guerre de l’information

janvier 2009 par Emmanuelle Lamandé

Les données à caractère personnel sont des données sensibles et fragiles, car mal protégées. Elles ont de la valeur et sont donc objets de convoitises. En 2008, 162 millions de données nominatives auraient été volées ou perdues aux USA, contre 50 millions en 2007. Ce phénomène ne connaît aucune limite et touche tous les domaines d’activités. Ces chiffres sont, néanmoins, loin d’être exhaustifs puisque des millions de données volées transitent chaque année, sans même que quiconque ne s’en rende compte. A l’occasion de la 3ème Université AFCDP* des Correspondants Informatique et Libertés, le Chercheur Daniel Ventre** nous livre les dessous de ces atteintes aux données personnelles qui sont parfois la résultante d’une véritable guerre de l’information.

* Association Française des Correspondants à la protection des Données à caractère Personnel
** Daniel Ventre, Chercheur (CNRS – CESDIP), Chargé de cours à Telecom ParisTech et à l’ESSEC, auteur du livre La guerre de l’information (éditions Lavoisier)

En septembre 2006, le jeu en ligne Second Life est piraté. 650.000 données privées se retrouvent menacées. En 2006 toujours, HP perd les données de 200.000 salariés. Dans le domaine de la banque et de la finance : en 2007, la Banque d’Irlande s’est fait volée 4 ordinateurs portables, mais le phénomène ne s’est fait connaître qu’en avril 2008. Les données de plus de 10.000 clients se trouvaient dessus. De 2003 à 2006, l’entreprise TJX se faisait voler des données fréquemment, elle ne s’en est aperçue qu’en 2007. Les attaques aux données peuvent donc se faire sur du long terme sans que l’entreprise ne s’en rende compte.

Dans le domaine gouvernemental, en 2007, le gouvernement britannique annonce la perte des données de 25 millions de personnes, ce qui a pour conséquence d’exposer près de la moitié de la population anglaise. Le domaine hospitalier n’est pas en reste, puisque différents hôpitaux américains se sont fait voler des données de patients. Des cas sont également référencés dans le secteur de l’énergie, du nucléaire. La police n’est pas épargnée par le phénomène. En 2007, au Japon, des données recueillies lors d’enquêtes de police se sont retrouvées en ligne sur un réseau populaire.

Tous les secteurs d’activités sont touchés par ce phénomène

Dans le secteur de la défense, en 2006, en Afghanistan, des ordinateurs et périphériques de l’armée américaine ont été volés, puis mis en vente sur les marchés. Ces ordinateurs contenaient des données sensibles sur des espions afghans. En 2006, le disque dur d’un ordinateur contenant les informations personnelles de 26,5 millions de militaires (vétérans et actifs) a été volée au USA. Ces problèmes de vol ou de fuite d’informations ont donc parfois un impact direct sur la sécurité défense nationale. Ces exemples variés montrent bien que le vol de données touche tous les secteurs d’activité, sans exception. De plus, des millions de données volées transitent, sans même que nous le sachions.

Daniel Ventre distingue plusieurs scénarios possibles dans ce phénomène, qui dépendent de différentes variables :

- La méthode et les conditions d’accès aux données : s’agit-il d’une perte accidentelle des données ou d’actions intentionnelles (achat de données, intrusion dans un SI, …) ? Quel est le niveau de difficulté d’accès aux données ? Niveau de visibilité de l’opération ? Est-elle revendiquée ?

- Les acteurs : cibles, auteurs ou tiers
 Les cibles sont les victimes : il s’agit du responsable de la base et des personnes dont les données sont dans la base.
 Les auteurs : menace interne ou externe, dans le pays ou à l’étranger, isolé ou organisé en groupe, acte volontaire ou pur hasard ?
 Les tiers : les structures et les personnes qui ont un lien avec l’affaire : police, médias, …

- Les objectifs : faire de l’argent, déstabiliser les concurrents, modifier la psychologie d’individus ou de groupes (faire naître un sentiment d’insécurité par exemple), opération de renseignement.

- Le contexte : l’espace géographique, l’espace temps (pays en guerre ou non), les secteurs touchés.

- L’utilisation faite des données : les données ont-elles été utilisées ? Chantage, revente, divulgation, renseignement, altération ou copie des données, … ?

- Les conséquences : impact sur l’image de l’entreprise, ses finances, son fonctionnement, psychologie de la victime, …

- Les réactions : divulguer l’incident, le garder secret, minimiser l’impact ?

Différents scénarios peuvent être élaborés en fonction de ces variables :
 accident sans incidence majeure
 acte cybercriminel, prémédité, organisé
 opération de guerre de l’information.

Guerre de l’information : une lutte pour la domination du cyberespace

La guerre de l’information est une opération conduite pour défendre ses propres SI ou pour attaquer et affecter l’information et le SI de l’adversaire. Il s’agit d’une lutte pour la domination du cyberespace, avec pour armes l’information et les systèmes d’information.

Les données à caractère personnel sont très utiles à la cybercriminalité et à la guerre de l’information. Elles représentent une arme précieuse. Disposer d’informations, ou même créer de fausses informations, permet de manipuler les individus. Il faut avoir à l’esprit que la perte ou le vol de données n’arrive pas qu’aux autres. Les structures que l’on pense protégées sont également sensibles. Le nombre de données volées à chaque fois est impressionnant. Plus il y a de données, plus le risque est élevé. Il est parfois difficile d’imaginer qu’une entreprise mette autant de données sur un même support. Pourtant, dernière ces données, se trouvent des citoyens avec parfois des informations qui concernent la sécurité nationale.

Daniel Ventre vous propose de tester votre maîtrise des données. En tant que CIL, savez-vous répondre aux questions suivantes ?
 Quelles données se trouvaient sur la machine volée ?
 Depuis combien de temps ces données étaient sur la machine ?
 Qui a accès aux données ?
 Les règlements sont-ils respectés ?
 Comment allez-vous gérer la crise ?
 etc.

Quelques petits conseils en conclusion de son intervention :
 crypter les données et l’accès aux PCs ;
 ne pas multiplier inutilement les endroits où se trouvent les données et les personnes qui y ont accès ;
 la déclaration des bases de données est obligatoire ainsi que sa sécurité ;
 sensibiliser et responsabiliser les salariés.

N’oubliez pas que le CIL n’est pas le seul responsable de la protection des données à caractère personnel. Et puis, pas de paranoïa. Toute atteinte aux données à caractère personnel n’est pas acte de guerre de l’information. Néanmoins, toute perte d’information n’est pas forcément, non plus, un simple acte de négligence !


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants