Le RGPD est censé protéger nos données personnelles, mais peut aussi avoir l’effet inverse. C’est ce qu’a démontré le chercheur en cybersécurité James Pavur lors de la conférence Black Hat 2019.
Le RGPD est entré en vigueur dans l’Union européenne depuis le mois de mai 2018. Ce nouveau règlement est censé améliorer la protection des données personnelles des citoyens européens, et leur en rendre le contrôle.
Malheureusement, il peut aussi avoir l’effet inverse. C’est ce que révèle le chercheur en sécurité James Pavur dans le cadre de la conférence Black Hat 2019.
Ce spécialiste a mené une enquête pour vérifier si l’accès aux données personnelles en lien avec le RGPD est réellement sécurisé. En effet, le règlement octroie à tout citoyen de l’UE le droit de réclamer l’accès à ses données auprès d’une entreprise qui les détient.
Pavur s’est donc fait passer pour sa fiancée, Casey Knerr, et a envoyé en son nom la même lettre à 150 entreprises. À chaque fois, il demandait à recevoir une copie de toutes les données détenues à son sujet.
Black Hat 2019 : James Pavur a pu récupérer 60 types de données sur sa fiancée
Au total, 108 entreprises ont répondu. Sur ce total, près d’un quart a immédiatement envoyé les données sans la moindre vérification. De même, 16% ont accepté la requête après n’avoir reçu qu’une preuve d’identité facile à falsifier ou à voler tel qu’un identifiant technique, une déclaration sur l’honneur, une facture de sécurité ou encore une réponse à une question de sécurité.
Seuls 39% des entreprises ont pris la peine de demander une preuve d’identité fiable telle que la connexion par un formulaire en ligne ou l’envoi d’un message depuis l’adresse e-mail référencée chez le fournisseur. Un faible nombre est allé trop loin en demandant des données personnelles plus sensibles que celles auxquelles l’accès était demandé, comme une copie d’un passeport ou d’une carte d’identité. Ceci est proscrit par le RGPD.
En deux mois, James Pavur est ainsi parvenu à récupérer 60 types de données personnelles au sujet de sa fiancée. Certaines de ces données étaient particulièrement sensibles, telles que l’adresse, le numéro de téléphone, le numéro de sécurité sociale ou le numéro de carte bancaire. L’une des entreprises s’est même permis d’envoyer le login et le mot de passe du compte de Casey Knerr !
Cette enquête met en lumière l’une des faiblesses du RGPD. En effet, le règlement ne précise pas de quelle façon les entreprises sont censées vérifier l’identité d’un utilisateur et se contente de stipuler que « le responsable du traitement devrait prendre toutes les mesures raisonnables ».
Ainsi, si les grandes entreprises sont parvenues à gérer les demandes d’accès convenablement, ce n’est pas toujours le cas des PME ou des associations. Ces organisations représentent donc des proies faciles pour les cybercriminels, et il est en réalité presque impossible pour les citoyens de protéger leurs données personnelles contre cette menace…
https://www.youtube.com/watch?v=0m0L86Ul9h0
- Partager l'article :