Fuite de données chez LaCie

Guy Kindermans Rédacteur de Data News

La fuite de données chez LaCie suscite des interrogations à propos de délits de fraude dans l’e-commerce, ainsi qu’au niveau du processus de notification aux clients.

Mi-mars, le spécialiste du stockage LaCie – à présent propriété de Seagate – a été informé que son magasin web en ligne avait été piraté par du malware, ce qui fait que des données de clients avaient probablement pris la clé des champs depuis un an déjà.

Même si l’entreprise ne fournit aucune information sur la nature du maliciel (malware) concerné, le magasin web de LaCie est apparu sur une liste de sites infectés par un botnet. Cet acte de piratage reposait sur l’utilisation d’une version surannée de la plate-forme d’applications web Colfdfusion d’Adobe, même si cette dernière entreprise avait entre-temps déjà sorti des correctifs (patches).

Des experts distinguent divers problèmes dans ces péripéties inhérentes aux pirates Coldfusion. C’est ainsi que les entreprises impactées semblaient pâtir des attaques depuis un an, voire deux déjà, sans avoir remarqué quoi que ce soit. Dans un cas rapporté, une victime avait payé durant cette période une autre entreprise, afin de tester son site web pour y déceler des faiblesses (entre autres par des attaques extérieures), mais cette entreprise externe n’avait elle non plus rien remarqué. Dans la plupart des cas, les entreprises ont finalement quand même été prévenues du problème par des tiers et donc pas par des contrôles internes.

Des experts financiers indiquent en outre que le nombre de cas de fraude dans les magasins web est en croissance, parce que les exploitants n’investissent pas suffisamment dans des dispositifs d’authentification supplémentaires. Comme raisons invoquées pour cette… mauvaise volonté, ils citent les coûts, le désir de faciliter le plus possible la vie du client et – peut-être la cause principale – parce qu’ils n’y sont pas contraints par une quelconque réglementation (comme c’est le cas dans le monde bancaire). Des problèmes tels Heartbleed et, récemment, les péripéties du scanner d’empreintes digitales de Samsung, sont autant de raisons supplémentaires d’utiliser des systèmes ID et d’authentification multiples.

Il s’agit aussi de prévoir des règles plus strictes en vue d’éliminer les problèmes de sécurité dans les applications des magasins web, de sorte que les vulnérabilités bien connues puissent être éliminées plus rapidement. Les développeurs doivent également accorder davantage d’attention à la sécurité de leur code et à celui des bibliothèques et structures externes.

Des questions au sujet du processus de notification

LaCie a donné des informations à propos de l’incident sur son site web – dont la partie webshop était fermée depuis tout un temps – uniquement en anglais et pas en français ou en néerlandais, même si cela concernait le site belge.

Dans le message, l’on apprend que l’entreprise a été informée du problème le 19 mars par le FBI, après quoi l’on a eu recours à une entreprise de recherche légale (Protiviti). Sur base des recherches de celle-ci, il s’avéra que le site était déjà vulnérable depuis le 27 mars 2013 (soit depuis un an environ). La notification n’a cependant débuté que le 11 avril, et il fallut patienter un certain temps encore, avant que la clientèle dans un cercle plus large en soit informée. C’est ainsi qu’au moins un client belge reçut le message ad hoc (en néerlandais quand même) 11 jours plus tard seulement (le 22 avril), malgré le fait que l’entreprise ait déclaré: “Nous souhaitons vous informer le plus rapidement possible de cet incident.”

Le problème, c’est qu’il n’est stipulé manifestement nulle part dans quel laps de temps cette notification soi-disant ‘la plus rapide possible’ doit être envoyée. Aux Etats-Unis, la législation en matière de notifications varie souvent d’un état à l’autre, sans que des délais clairs soient définis. Même une proposition de loi fédérale au sénat américain, datant de 2013, stipule seulement: “aussi rapidement que la pratique le permet et sans délai déraisonnable.” Il est permis de prendre le temps de déterminer quelle est l’ampleur de la fuite de données, qui sont les personnes touchées et quelles sont les réparations nécessaires à faire au système, peut-on lire dans la proposition, mais des délais complémentaires sont possibles, si une enquête judiciaire ou la sécurité nationale l’exigent. Concrètement, tout cela signifie que la personne finalement impactée, à savoir le client du magasin web, est le dernier averti – et tardivement – du problème. Il y a donc clairement moyen de faire beaucoup mieux.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire