Le Gouvernement du Grand-Duché du Luxembourg Portail de la sécurité de l'information CASES Luxembourg
Sep Visuel - Recherche
    Rechercher
x Recherche avancée
Sep recherche - fonctions
¦ Accueil ¦ Nouveautés ¦ Glossaire ¦ Liens ¦ Vos réactions ¦ Contact ¦ ¦ Aide ¦ Index ¦ A propos du site ¦
Sep fonctions - date
  ImprimerEnvoyer à
Sep date - contenu
Actualités
Théorie
Pratique
Risques
*
Risques 2004
arrow Risques 2005
*
Risques 2006
*
Risques 2007
*
Risques 2008
Publications
Documentation

> home > Risques > Risques 2005 > Panorama de la cyberdélinquance 2005 du CLUSIF > 4. Vol et pertes de données : les risques d'usurpation d'état civil

4. Vol et pertes de données : les risques d'usurpation d'état civil

 One up
Table des matières
  1. Introduction et retour sur 2004
  2. Economie souterraine : robots, keyloggers, rootkits
    1. La persistance des robots
    2. La vitalité des chevaux de Troie conventionnels (backdoors & keyloggers...)
      1. Cheval de Troie
      2. Keylogger
    3. Le retour des rootkits
    4. Conclusions, conséquences et enjeux
  3. Espionnage économique : la convoitise
    1. Espionnage avec Cheval de Troie
    2. Affaire Valeo
    3. Piratage d'Ericsson
  4. Vol et pertes de données : les risques d'usurpation d'état civil
    1. Vols d'ordinateurs
    2. Pertes de supports de sauvegardes
    3. Compromission de systèmes
    4. Conclusions, conséquences et enjeux
    5. Recommandations
  5. Du harcèlement aux violences physiques
    1. Harcèlement
    2. Happy slapping
    3. Agressions physiques
    4. Conclusion
  6. Conclusions
  7. Annexe - Retour sur les années précédentes

4. Vol et pertes de données : les risques d'usurpation d'état civil

L'année 2005 a vu plusieurs cas avérés de divulgation de données personnelles consécutifs à des vols d'ordinateurs, des pertes de supports de sauvegarde ou des cas de compromission de systèmes. La nature des données dérobées, perdues ,compromises ou altérées aurait permis à des personnes malintentionnées d'usurper l'état civil ou de mettre en place des fraudes financières de grande ampleur.




Les données intéressantes pouvant être obtenues :

  • de manière directe par des attaques visant spécifiquement les données,
  • de manière indirecte par le vol d'ordinateurs ou de supports de stockage.
    Notes
    1. Plusieurs exemples de pertes et divulgations de données sont relevés dans ce dossier. La majorité des exemples proviennent de situations survenues aux USA. Cela ne prévaut en rien au fait que des cas similaires n'aient pas pu se produire ailleurs dans le monde. Une loi fédérale américaine impose aux entreprises victimes de divulgation de données personnelles d'alerter les personnes concernées, ce qui a pour effet de mettre en lumière, plus que partout ailleurs, les cas de divulgations et pertes de données personnelles survenus sur le territoire américain.
    2. Aux USA, la donnée personnelle numéro de sécurité social est un sésame permettant de s'authentifier et d'effectuer de nombreuses démarches administratives, c'est la raison pour laquelle elle est un bien précieux très prisé par les escrocs voleurs d'identité.

4.1 Vols d'ordinateurs
Plusieurs cas de vols d'ordinateurs et des données personnelles qui y étaient enregistrées se sont produits en 2005 :

  • la perte de données personnelles de 185 000 patients du groupe médical de San José s'est produite suite au vol de deux ordinateurs utilisés dans le cadre de l'audit annuel. Seule une partie des données étaient chiffrées. Aucune information n'a semble-t-il été exploitée,

  • le vol d'un ordinateur portable contenant des données personnelles telles que le numéro de sécurité sociale de 98 000 personnes de l'Université de Berkeley. L'ordinateur a été retrouvé par la police après avoir été mis en vente sur un site de vente aux enchères sur Internet. Le disque dur avait été formaté et aucune preuve de l'exploitation des données n'a été trouvée.

4.2 Pertes de supports de sauvegardes
Plusieurs cas avérés de pertes de supports de sauvegardes se sont produits en 2005. Dans de nombreux cas, les données sauvegardées n'étaient pas chiffrées.

  • 200 000 dossiers de clients de Ameritrade Holding, société de conseil en investissement, furent divulgués lors de la perte d'une bande de sauvegarde par une société spécialisée lors de son transfert entre deux bureaux de la société,
  • La perte d'informations bancaires de Bank of America concernant 1,2 millions d'employés du gouvernement suite à un vol de bandes de sauvegardes a été relevée. Les données contenaient des informations telles que les numéros de compte et les adresses des clients.
  • La perte de données contenant des relevés de transactions et de numéros de sécurité sociale de 4 millions de clients de la banque Citigroup lors du transfert des données par une société spécialisée vers une institution de vérification des mouvements bancaires a également été signalée.

Concernant ces affaires de pertes de données personnelles, aucune preuve de leur éventuelle exploitation n'a été communiquée.

4.3 Compromission de systèmes
Plusieurs cas avérés de compromission de systèmes impliquant des données personnelles se sont produits en 2005 :

  • des informations de 32 000 personnes de la LexisNexis, société d'édition d'informations professionnelles d'ordre juridique, financier et économique, incluant nom, adresse, numéro de sécurité sociale, numéro de permis de conduire, semblent avoir été compromises suite à plusieurs dizaines d'incidents de sécurité survenus au sein d'une base de données du système d'information de la maison mère et d'une filiale.
    Des utilisateurs malicieux sont parvenus à accéder aux bases de données de la société en devinant des noms d'utilisateurs et des mots de passe.
  • des intrusions dans le réseau interne du Jackson Community College ont permis un accès potentiel à plus de 8 000 numéros de sécurité sociale. Les pirates sont parvenus à deviner les mots de passe de plusieurs dizaines d'utilisateurs : le mot de passe par défaut était le numéro de sécurité sociale de l'utilisateur et n'était pas systématiquement changé lors de la première connexion.

4.4 Conclusions, conséquences et enjeux
Bien que peu de preuves d'exploitation des données obtenues lors de leur vol, de leur perte ou de leur corruption n'aient été découvertes, l'inquiétude est grande quant à la multiplicité des cas de perte, de vols et de corruption de données personnelles. Cette situation peut être expliquée par le fait que ces données deviennent des biens monnayables de plus en plus recherchés. Leur obtention rendant ensuite possible l'usurpation d'identité.

La sécurité des données repose à la fois sur la sécurité de leur stockage, de leur échange et de leur manipulation. Cette sécurité est dépendante de plusieurs facteurs limitants, dont le fait que :

  • les données soient conservées sur des systèmes dont les niveaux de protection sont parfois insuffisants. Il convient de mettre en place des mesures organisationnelles et techniques visant à sécuriser les systèmes et les réseaux et donc les informations et l'accès à ces informations.

  • l'application de toutes les mesures de protection possibles qui peuvent être mises en oeuvre voit ses effets réduits à néant si le propriétaire de l'information n'est pas sensibilisé aux risques et aux conséquences de la divulgation d'informations personnelles lui appartenant.

Il convient de sensibiliser les personnes aux risques et aux conséquences de l'usurpation d'identité et dans le même temps de renforcer les procédures d'identification utilisant les données personnelles.

Pour illustrer le besoin de renforcement des procédures d'identification, on peut citer une anecdote survenue à un couple de texans partis en vacances. A leur retour, le couple a eu la surprise de voir installé dans leur demeure, un inconnu ayant acheté en toute bonne foi leur maison et qui leur en a présenté le certificat de vente.
Ces trois personnes ont toutes été trompées par un escroc qui est parvenu à voler des données personnelles du couple texan, et, grâce à leurs numéros de sécurité sociale et de permis de conduire ainsi qu'une copie de leur signature, il est parvenu à créer un faux document de vente d'une maison qui ne lui appartenait pas et à dérober l'argent de l'acheteur en lui fournissant une maison qui n'était pas en vente.

4.5 Recommandations
Puisque toutes les mesures de protection qui peuvent être mises en oeuvre sont inefficaces si les propriétaires de l'information divulguent à qui le demande les informations en leur possession, la première recommandation est la sensibilisation aux risques et conséquences du vol d'identité et d'usurpation d'état civil par le vol d'informations personnelles. Il est également nécessaire de sensibiliser au fait de ne pas divulguer d'informations personnelles trop facilement et sans prendre de précautions particulières.
A titre d'illustration, une étude anglaise menée en mars 2005 par le journal Londoners a montré qu'il est très facile d'extorquer ce type d'informations. L'enquête, menée sur 200 personnes, a montré que plus de 90% des personnes interrogées donnent très facilement des informations personnelles telles que le nom des parents, des enfants ou leur adresse. Les informations étaient obtenues en faisant croire à la réalisation d'un sondage et en promettant des places gratuites au théâtre.

Plusieurs règles de bonne conduite peuvent être suivies pour réduire les risques de vol d'identité :

  • Attention aux attaques de type Social Engineering
    Le social engineering regroupe toutes les techniques de manipulation par tromperie qui visent à obtenir l'accès à des informations personnelles et/ou confidentielles. Il faut se méfier de ce type d'attaque.
    Voir la fiche thématique Cases : social engineering


  • S'assurer du respect du principe de nécessité et de proportionnalité
    Toute demande formulée par une personne, connue ou inconnue, visant une information personnelle doit respecter le principe de nécessité et de proportionnalité.
    Le principe de nécessité et de proportionnalité implique que le traitement d'une information doit se limiter aux données pour lesquelles il existe un rapport direct avec la finalité initiale du traitement. Ces données doivent non seulement être utiles, mais aussi nécessaires pour celui qui traite ces données. Les données traitées ne doivent pas être excessives par rapport au but poursuivi. [référence CNPD]
    Par exemple, lors de la réservation d'une table dans un restaurant, le fait que le restaurateur demande le nom de la personne effectuant la réservation est une requête légitime respectant le principe de nécessité et de proportionnalité. La requête du restaurateur lui permet d'enregistrer la réservation et d'attribuer la table lors de l'arrivée des invités au restaurant. En revanche, demander le numéro de compte bancaire à la réservation sous prétexte de faciliter la facturation du repas n'est pas conforme au principe de nécessité et de proportionnalité. Dans ce cas, il ne faut pas satisfaire à la demande qui est faite car la réponse qui sera apportée pourrait être exploitée à vos dépens. Puisque la demande ne respecte pas le principe de nécessité et de proportionnalité, le véritable objectif de la requête formulée peut être fait dans un but malintentionné.


  • Prendre soin de la confidentialité des données personnelles
    Il est essentiel de prendre le plus grand soin de la sécurité des données amenées à circuler entre différents lieux ou entre différents ordinateurs. Les données concernées peuvent être :
    • des données des disques durs des ordinateurs portables,
    • des données stockées sur des supports de stockage amovibles telles que clés USB, disques durs amovibles, etc.,
    • des données enregistrées dans un but de sauvegarde et d'archivage telles que des bandes de sauvegardes, CD/DVD-ROM, etc.,
    • des données sensibles et/ou personnelles amenées à transiter sur des réseaux publics tels qu'Internet par e-mail.

La sécurité de ces informations peut être assurée par la cryptographie (Dossier cryptographie de Cases) afin de réduire les risques d'exploitation des informations en cas de perte, de vol ou d'interception.

  • Utiliser des mots de passe sûrs et les changer régulièrement
    Appliquer les recommandations et les bonnes pratiques relatives au choix et à l'utilisation des mots de passe pour sécuriser l'accès à des services sur Internet, comme par exemple l'accès aux comptes bancaires en ligne.

Les points les plus importants sont :

  • ne jamais donner ses identifiants personnels, nom d'utilisateur et mot de passe, même si la demande semble émaner de la banque. Il faut savoir que les banques ne contactent pas leurs clients pour ce genre de demandes,
  • choisir un mot de passe sûr,
  • changer régulièrement le mot de passe.
    Se reporter aux règles de comportement Cases pour plus de détails concernant les règles de comportement - mots de passe


  • Eviter les pièges du phishing
    Attention aux campagnes massives de phishing : restez vigilant à ce sujet et pour ne pas tomber dans le piège consultez notre Dossier phishing.

Cédric M.

partie suivante : Du harcèlement aux violences physiques




Pour en savoir plus ... ?
Liens externes
* La Commission Naptionale pour la Protection des Données

Haut de page


  Dernière mise à jour de
  cette page le :
  22-02-2007

Copyright © Cyberworld Awareness Security Enhancement Structure   Aspects légaux | Contact