Pas de trêve estivale pour les fuites de données personnelles

C’était il y a presqu’un an. L’été touchait alors à sa fin et l’on apprenait l’exposition des données personnelles de près de 150 millions de personnes du fait d’une intrusion dans les systèmes d’information d’Equifax. Cette année semble bien partie pour le confirmer : les compromissions de données personnelles ne connaissent pas de trêve estivale ; ce serait peut-être même le contraire.

Tout récemment, Ticketmaster vient ainsi d’alerter ses utilisateurs d’une potentielle compromission de leurs données personnelles. C’était quatre jours après la découverte d’un maliciel dans un service d’automate conversationnel - ou chatbot - tiers, basé sur l’intelligence artificielle, et hébergé par Inbenta. L’enquête continue, mais Ticketmaster estime que moins de 5 % de sa base installée mondiale est susceptible d’être concernée. Le service a informé les personnes ayant acheté des billets sur ses sites entre septembre 2017 et le 23 juin dernier, au moins « par précaution ». Il propose à ses clients affectés de bénéficier gratuitement, pendant 12 mois, d’un service de surveillance d’identité.

L’épisode n’est malheureusement pas isolé. Ticketfly a également été victime de malveillance ; les données personnelles de 27 millions d’utilisateurs ont été compromises – mais pas leurs mots de passe, ni leurs détails des moyens de paiement.

Certains utilisateurs de Fastbooking n’ont peut-être pas eu autant de chance. Des données personnelles de clients ont été compromises par une intrusion survenue mi-juin et détectée quelques jours plus tard. La filiale du groupe AccorHotels indique que l’ensemble de ses « marchés » a été touché, sans préciser la liste des hôtels concernés. La chaîne japonaise Prince Hotels & Resorts indique que près de 125 000 de ses clients, dans 83 hôtels, ont été affectés. Fastbooking évoque le nombre de 380 hôtels au Japon dans le seul communiqué publié pour l’heure à ce propos, dont 189 pour le vol de données de paiement. Celles-ci étaient chiffrées, mais aucun détail n’a été fourni sur la méthode employée.

Le voyagiste Klook fait également état d’une brèche. Liée à la présence de code JavaScript malicieux dans un outil d’analyse de trafic, SociaPlus, elle est susceptible d’avoir affecté les transactions réalisées sur son site Web en la mi-décembre et la mi-juin. Klook indique estimer qu’environ 8 % de ses utilisateurs pourraient avoir été concernés.

De son côté, Adidas indique « alerter certains clients ayant acheté sur adidas.com/US » : un tiers affirme avoir réussi à collecter des données personnelles. Selon lui, la moisson se limiterait à des détails de correspondance et les données de paiement ne seraient pas concernées.

En France, nos confrères du Monde ont fait état d’une vaste opération de vol de données visant le monde de la Justice : « les greffes de juridictions françaises ont reçu, des mois durant, des milliers de courriels émanant d’expéditeurs fictifs, se faisant passer pour des avocats ou des universitaires ». La ruse ? L’utilisation d’adresses sur le domaine avocatlime.fr, jouant sa proximité orthographique avec avocatline.fr. Tout à fait légitime, ce dernier est administré par Adwin, qui s’y adosse pour gérer un vaste service de messagerie dédié au monde juridique. Christiane Féral-Schuhl, présidente du Conseil national des barreaux, indique de son côté que « si nous avons confirmation qu’il y a bien eu usurpation d’identité, nous n’excluons pas d’intervenir ».

Mais nos confrères ont au passage découvert d’autres noms de domaine en .com ou .net susceptibles d’être utilisés dans le cadre de campagnes de collecte de données par usurpation d’identité, visant encore une fois le monde de la Justice.