« Veuillez noter que [COMPANY NAME] prend la sécurité de vos données personnelles très au sérieux.” Si vous êtes sur Internet depuis un certain temps, il y a de fortes chances que vous ayez reçu au moins un e-mail ou une lettre de notification de violation contenant une version de cette ligne obligatoire. Mais en ce qui concerne les lignes, celle-ci est à peu près aussi convaincante que la ligne de rupture classique, « Ce n’est pas toi, c’est moi. »
Il y a environ deux semaines, je me suis souvenu du vide absolu de ce discours d’entreprise sur la violation, après avoir reçu une lettre par courrier postal de mon fournisseur de services Internet – Cox Communications. Dans sa lettre, l’entreprise explique :
« Le 13 août 2014 ou vers cette date, « nous avons appris que l’un de nos représentants du service client avait vu ses informations d’identification de compte compromises par un inconnu. Cet incident a permis à la personne non autorisée de consulter des informations personnelles associées à un petit nombre de comptes Cox. Les informations qui auraient pu être consultées comprenaient votre nom, votre adresse, votre adresse e-mail, votre question/réponse secrète, votre code PIN et, dans certains cas, les quatre derniers chiffres uniquement de votre numéro de sécurité sociale ou de votre numéro de permis de conduire.
La lettre se terminait par l’offre classique de services gratuits de surveillance du crédit (via Experian, rien de moins) et l’obligatoire « Veuillez noter que Cox prend très au sérieux la sécurité de vos données personnelles ». Mais je me demandais à quel point ils le prenaient vraiment au sérieux. Alors, j’ai appelé le numéro au dos de la lettre, et on m’a dirigé vers Stephen Boggdirecteur des affaires publiques chez Cox.
Boggs a déclaré que les problèmes ont commencé après qu’une représentante du compte client a été « socialement conçue » ou amenée à donner les informations d’identification de son compte à un appelant se faisant passer pour un membre du personnel d’assistance technique de Cox. Boggs m’a informé que j’étais l’un des 52 clients dont les informations ont été consultées par le(s) pirate(s) après avoir piraté le compte du représentant du service client.
La nature de l’attaque décrite par Boggs suggérait deux choses : 1) Que la page de connexion que les employés de Cox utilisent pour accéder aux informations client est disponible sur Internet (c’est-à-dire qu’il ne s’agit pas d’une application interne uniquement) ; et que 2) le représentant du support client a pu accéder à ce portail public avec rien de plus qu’un nom d’utilisateur et un mot de passe.
Boggs ne voulait pas répondre ou ne connaissait pas la réponse à ma question principale : les employés du service client de Cox devaient-ils utiliser une authentification multifacteur ou à deux facteurs pour accéder à leurs comptes ? Boggs a promis de rappeler avec une réponse définitive. Au crédit de Cox, il a rappelé quelques heures plus tard et a confirmé mes soupçons.
« Nous utilisons l’authentification multifacteur dans divers cas », a déclaré Boggs. « Cependant, dans cette situation, il n’y avait pas d’authentification à deux facteurs. Nous prenons des mesures basées sur notre enquête pour combler cet écart, ainsi que pour organiser une nouvelle formation de nos représentants du service client afin de fermer également cette boucle.
Cette triste situation est probablement la même dans plusieurs entreprises qui prétendent protéger vos données personnelles et financières. À mon avis, toute entreprise – en particulier une dans le secteur des FAI – qui n’utilise qu’un nom d’utilisateur et un mot de passe pour protéger les informations personnelles de ses clients devrait être publiquement humiliée.
Malheureusement, la plupart des entreprises ne prendront pas de mesures proactives pour protéger ces informations tant qu’elles n’y seront pas obligées, généralement en réponse à une violation de données. En l’absence de toute pression du Congrès pour trouver des moyens proactifs d’éviter des violations comme celle-ci, les entreprises continueront de garantir la sécurité et la confidentialité des dossiers de leurs clients, une violation à la fois.