Paradoxalement, le RGPD facilite le vol de données personnelles

Le règlement européen donne à chaque personne un droit d’accès à ses données. Mais souvent, cet accès n’est pas assez bien sécurisé, ouvrant la porte à l’ingénierie sociale.

Entré en vigueur depuis mai 2018, le règlement européen RGPD a pour objectif d’améliorer la protection et le contrôle dans le domaine des données personnelles, notamment en imposant de nouvelles procédures à respecter et en prévoyant des amendes dissuasives. Malheureusement, le règlement a également des effets indésirables qui vont dans le sens contraire, facilitant même le vol de données personnelles dans certains cas.

C’est en effet ce que vient de démontrer le chercheur en sécurité James Pavur à l’occasion de la conférence Black Hat 2019. Le RGPD confère à toute personne un droit d’accès à ses données et l’entreprise qui les détient ne peut pas lui refuser, sous peine de recevoir une amende. Ce qui est une bonne chose. Mais cet accès est-il également sécurisé ?

Une vérification d’identité défaillante

Pour le savoir, l’expert s’est fait passer pour sa fiancée, Casey Knerr, complice et co-auteure de cette étude. Il a envoyé une lettre à 150 entreprises dans laquelle il a demandé, en retour, une copie de toutes les données qu’elles détiennent sur elle.

Sur les 108 entreprises qui ont pris la peine de répondre, environ un quart a immédiatement envoyé les données, sans aucune vérification. Et 16 % ont obtempéré après avoir reçu une faible preuve d’identité, facile à voler ou falsifier : un identifiant technique, une déclaration sur l’honneur, une réponse à une question de sécurité, une facture d’électricité, etc.

Fuite de données sensibles

Seules 39 % des entreprises ont demandé une preuve d’identité d’un niveau correct, comme la connexion par un formulaire en ligne ou l’envoi d’un message depuis l’adresse e-mail référencée chez le fournisseur. Certains sont même allés trop loin, en réclamant l’envoi d’une copie de passeport ou d’une carte d’identité. Au regard du RGPD, il serait, en effet, illogique de devoir fournir des données personnelles plus sensibles que celles auxquels on souhaite accéder.

Au final, grâce à cette opération d’ingénierie sociale, James Pavur a réussi, en l’espace de deux mois, à récupérer 60 types de données personnelles sur sa fiancée. Certains d’entre eux étaient plutôt sensibles comme l’adresse, le numéro de téléphone, le numéro de sécurité sociale ou le numéro de carte bancaire. Une entreprise a même envoyé le login et le mot de passe du compte de l’utilisatrice.

Une lacune du RGPD

Ce piètre résultat n’est pas très étonnant, car le RGPD ne dit pas comment les fournisseurs doivent vérifier l’identité d’un utilisateur. Le préambule du règlement explique seulement que « le responsable du traitement devrait prendre toutes les mesures raisonnables » pour y parvenir, sans plus de précision (raison n°64).

Les entreprises font donc au mieux. L’expérience montre que les grandes entreprises ont plutôt bien géré les demandes d’accès. Les PME et les associations, en revanche, sont une cible facile pour ce type d’attaque.

En tant qu’utilisateur, il est presque impossible de se prémunir contre de tels vols de données. La seule option est de se renseigner auprès des fournisseurs sur d’éventuelles demandes d’accès qui auraient été faites par le passé. Et d’inciter les entreprises de blinder leurs procédures.