lundi 14 juillet 2008

Les logiciels de P2P facilitent le vol d'identité

Un article du Washington Post du 9 juillet fait état du vol de données personnelles de 2000 clients fortunés de l'entreprise spécialisée dans les placements financiers et les conseils fiscaux Wagner Resource Group. Parmi les victimes, figurent de nombreux juristes de haut vol ainsi que le juge Breyer de la Cour suprême des États Unis.  

Le déroulement de l'incident a suivi une séquence désormais classique: un employé qui manifestement dispose de trop de temps libre pendant sa journée de travail télécharge sur son ordinateur professionnel le logiciel de partage de données LimeWire, qui lui permet de télécharger les derniers morceaux de musique à la mode ou les films piratés qui viennent de sortir en salle. Il ne prête pas une grande attention au paramétrage des fichiers qui peuvent être échangés, et se trouve mettre à la disposition de tous les internautes qui recherchent ce type d'informations des fichiers confidentiels contenant des données relatives aux clients, aux nouveaux produits ou aux fournisseurs de l'entreprise. Dans le cas en question, ce sont les noms, les dates de naissance et les numéros de sécurité sociale (utilisés pour valider de nombreuses transactions financières aux USA) des riches clients qui ont été compromis. Ces données, visibles de tous sur Internet, peuvent ensuite être utilisées par des fraudeurs pour obtenir des cartes de crédit ou des service de téléphonie mobile au nom de leurs victimes.

Si de tels incidents sont hélas en train de devenir monnaie courante, on voit qu'ils n'impliquent pas des compétences techniques très développées de la part des fraudeurs, qui ont seulement à rechercher les fichiers abusivement partagés sur les sites "pair à pair" (P2P). Par ailleurs, dans ce cas particulier, 6 mois se sont écoulés avant que la faille ne soit découverte par l'entreprise victime, et l'alerte n'a pas été donnée par les services informatiques de l'entreprise mais par un internaute qui est tombé dessus par hasard. 

Un tel niveau de négligence semble être la norme, puisqu'un rapport de la société Verizon Business portant sur 500 incidents de perte ou de vol de données personnelles recensés entre 2004 et 2007 fait apparaître que la découverte de tels incidents est dans 70% des cas le fait de tierces parties. Les procédures d'audit interne ou les technologies d'analyse des activités ne sont déterminantes, quant à elles, que dans 7% des incidents. On se demande à ce compte si les investissements en sécurité de l'information seront bien en mesure de produire des résultats escomptés, ou s'ils sont réalisés par les entreprises en pure perte. 


Aucun commentaire: