Depuis peu, une base de données inventoriant plus d'un million d'adresses électroniques belges est disponible sur Internet. Dans le même temps, la banque Argenta a demandé à ses clients, après la paralysie de son système de banque en ligne pendant plusieurs jours, d'effectuer leurs virements urgents par e-mail. "C'est stupide", estime Matthias Dobbelaere-Welvaert, juriste spécialisé en TIC et managing partner chez lesJuristes.

Les clients d'Argenta ont subi une semaine de chaos bancaire en raison de problèmes techniques. Vous vous êtes insurgé après que la banque a demandé à ses clients sur son site Internet de communiquer leurs données d'identification par e-mail pour leurs virements urgents.

Matthias Dobbelaere-Welvaert: Je ne suis pas le seul à m'être emporté sur Twitter. C'était tout simplement stupide. Je comprends que les collaborateurs de la banque veuillent tout faire pour aider leurs clients, mais cette démarche réduit à néant des années de sensibilisation à la cybercriminalité.

C'est du jamais vu qu'une banque conseille à ses clients de transmettre des données personnelles par e-mail

Il ne faut jamais transmettre des données personnelles par e-mail. Les courriels sont très vulnérables. On peut facilement se faire passer pour quelqu'un d'autre. Un e-mail peut être intercepté en cours de route. Et une adresse peut être piratée. Il y a en circulation de nombreux e-mails d'hameçonnage (phishing) bien faits par lesquels des escrocs tentent de soutirer des données personnelles. C'est du jamais vu qu'une banque conseille à ses clients de transmettre des données personnelles par e-mail. Mais bon, grâce à la mésaventure d'Argenta, les médias accordent une fois de plus de l'attention à ce sujet.

Que se passerait-il si des escrocs subtilisaient des fonds grâce à l'un de ces "virements urgents" par e-mail ?

Je suis convaincu que des hackers tentent actuellement de pirater l'adresse e-mail indiquée par Argenta. Je ne sais pas s'il s'agit d'une adresse indépendante ou si les e-mails sont transférés vers différentes adresses, mais j'espère de tout coeur que des milliers de clients n'ont pas communiqué leurs données par e-mail. Cela représenterait en effet une mine d'informations pour les hackers. Je conseille également à Argenta de supprimer toutes ces données définitivement et dans les meilleurs délais, comme si rien de tout cela n'était arrivé.

Des clients peuvent-ils répercuter sur une entreprise un éventuel préjudice subi en raison d'une fuite de données ?

À l'heure actuelle, les clients d'une entreprise doivent démontrer qu'ils ont subi un préjudice. Plus stricte, la nouvelle législation européenne sur la protection des données entrera en vigueur le 25 mai. Toute infraction au RGPD pourra donner lieu à des amendes jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial d'une entreprise. De plus, les structures victimes d'un piratage de données auront l'obligation de le reconnaître publiquement.

À l'heure actuelle, à peine 20 à 30 % des cyberattaques sont visibles

Les entreprises remarquent-elles toujours que leur système a été piraté ?

Auparavant, les pirates utilisaient des virus bruyants, qui faisaient apparaître toutes sortes de choses farfelues sur votre écran. Ce n'est plus le cas aujourd'hui. Les hackers prennent souvent le contrôle de votre ordinateur sans que vous ne vous en rendiez compte. Votre ordinateur commence à être un peu moins performant, mais au-delà de ça, il n'y a aucun signe visible. Dès que le pirate est entré dans un système, il se tient tranquille afin de ne pas se faire remarquer. À l'heure actuelle, à peine 20 à 30 % des cyberattaques sont visibles.

Le hacker éthique d0gberry vient de mettre en ligne une base de données inventoriant plus d'un million de mots de passe belges. Pourrait-il être tenu pour responsable si des pirates craquaient mon mot de passe grâce à son site Internet et que je subissais un préjudice ?

Je ne sais pas si on peut encore parler d'un hacker éthique et je pense que vous pouvez effectivement répercuter un éventuel préjudice sur d0gberry. En rendant public une partie de l'adresse e-mail et une partie du mot de passe sur son site Internet gotcha.pw, il a facilité la tâche des hackers désireux de deviner votre mot de passe. Vous pouvez lui envoyer un courriel pour faire supprimer votre adresse et votre mot de passe, mais le mieux est de changer régulièrement de mot de passe.

Par ailleurs, le site haveibeenpwned.com existe depuis bien plus longtemps. Il permet de vérifier si le mot de passe de votre adresse e-mail a été craqué ou non. La différence est qu'aucune donnée personnelle n'y est divulguée.

Si je me faisais passer pour l'informaticien de votre entreprise et que je vous téléphonais pour vous demander votre mot de passe, il y a de fortes chances que vous me le donniez

Comment les entreprises peuvent-elles protéger les données de leurs clients ?

Les données personnelles doivent avant tout être cryptées. La clé ad hoc permet alors de déverrouiller ces données. Des mots de passe ne peuvent jamais être sauvegardés en tant que texte brut dans une base de données par exemple. Ils doivent être hachés, c'est-à-dire cryptés irréversiblement. Il faut ensuite effectuer un test d'intrusion.

Vous devez avoir recours à un juriste, étant donné qu'il faut demander l'autorisation explicite des clients pour utiliser leurs données ou les transmettre à des tiers. Le juriste doit vérifier que ces textes sont rédigés correctement. Vous devez aussi engager un spécialiste de la sécurité sur Internet. Enfin, vous pouvez demander à un hacker éthique de tenter de pénétrer dans votre système afin de détecter ses points faibles éventuels. Je n'attends pas de toutes les PME de faire appel à un hacker éthique, mais j'espère que les banques le font par exemple.

Quoi qu'il en soit, aucun système n'est étanche. L'erreur provient très souvent du maillon humain du système. Si je me faisais passer pour l'informaticien de votre entreprise et que je vous téléphonais pour vous demander votre mot de passe, il y a de fortes chances que vous me le donniez. C'est ce qu'on appelle l'ingénierie sociale et on ne peut pas l'éviter en investissant dans des systèmes coûteux.

Traduction : virginie·dupont·sprl