Quand le RGPD facilite l'usurpation de données personnelles
Le droit d'accès aux données personnelles, l’une des exigences du RGPD, peut paradoxalement permettre à des cybercriminels de voler des informations sensibles en se faisant passer pour quelqu’un. Un chercheur de l'Université d’Oxford décrit comment il y est parvenu.
L’un des volets du RGPD, le droit d'accès aux données personnelles, peut dans certains cas être facilement exploité par des cybercriminels avides d’informations personnelles. Présentée lors de la conférence Black Hat USA 2019, une recherche a montré que de nombreuses entreprises ne prennent pas suffisamment de mesures pour s’assurer de l'identité du demandeur. Chercheur à l'Université d’Oxford, James Pavur est ainsi parvenu à récolter de nombreuses données privées sur sa fiancée, en partant d'informations basiques (nom, prénom, e-mail, numéro de téléphone) disponibles en ligne via Linkedin et sur un site web personnel.
Dans le cadre du RGPD, le droit d'accès à ses données personnelles précise que les entreprises sont tenues de répondre à ce type de demandes dans un délai d’un mois. Selon le chercheur, cette contrainte temporelle accentue le risque de voir certaines entreprises accorder trop peu d'attention aux aspects de vérification de l'identité, le délai d’un mois étant visiblement trop serré pour des firmes qui n’ont pas su mettre en place des processus suffisamment automatisés pour assurer une conformité. Le chercheur a envoyé une lettre standardisée à 150 organisations, demandant d’une manière délibérément vague tous renseignements personnels que l'organisation (ou une tierce partie) conserve. La lettre contenait les informations connues sur la cible (la fiancée), mais l’adresse mail de correspondance avait été créée pour l'occasion par le chercheur.
60 informations différentes transmises
Au final, environ un quart des entreprises possédant des données sur la cible les ont livrées en ne procédant à aucune vérification d'identité. Il pouvait s’agir de liste d’achats, du numéro de carte de crédit et de sa date d'expiration, ou de ses différentes adresses de domicile. En tout, 60 informations différentes ont été transmises. 15% des entreprises contactées ont demandé une preuve d'identité considérée comme faible, car pouvant facilement être volée ou falsifiée (telle qu’une attestation signée). 40% ont demandé une preuve d’identité considérée comme forte, le plus souvent un login ou un e-mail provenant du compte utilisé pour s'inscrire auprès de l'organisation.
Cette recherche montre qu’une part non négligeable d'entreprises (des PME plutôt que des grandes organisation) ne prend pas les précautions nécessaires pour répondre aux demandes d’accès aux données. Mais un manque de précision du règlement sur la procédure de vérification de l’identité est aussi mis en lumière (la diversité des preuves d’identités requises par les entreprises le montre). Le chercheur appelle ainsi les législateurs européens à clarifier quels sont les formes de vérifications d’identité adéquates et à mieux guider les entreprises sur ce point.