Black Hat: la loi sur la protection des renseignements personnels dans les RPGD exploitée pour révéler des données personnelles


Copyright de l'image
Getty Images

Légende

Le GDPR est censé protéger les données personnelles, mais cette expérience a utilisé la loi pour obtenir l'effet inverse

Environ une entreprise sur quatre a révélé des informations personnelles à la partenaire d'une femme, qui avait fait une demande fictive pour les données en invoquant une loi de l'UE sur la vie privée.

L’expert en sécurité a contacté des dizaines d’entreprises basées au Royaume-Uni et aux États-Unis afin de déterminer comment elles traiteraient une demande de «droit d’accès» faite au nom d’une autre personne.

Dans chaque cas, il a demandé toutes les données qu'ils détenaient sur sa fiancée.

Dans un cas, la réponse incluait les résultats d'une vérification d'activité criminelle.

Les autres réponses incluaient des informations sur la carte de crédit, les détails du voyage, les identifiants de compte et les mots de passe, ainsi que le numéro de sécurité sociale complet de la cible.

James Pavur, chercheur à l'Université d'Oxford, a présenté ses conclusions à la conférence Black Hat à Las Vegas.

Il s'agit du premier test connu de ce type à exploiter le, entré en vigueur en mai 2018.

"Généralement, s'il s'agissait d'une très grande entreprise, en particulier de technologie, elle avait tendance à très bien réussir", a-t-il déclaré à la BBC.

"Les petites entreprises avaient tendance à m'ignorer.

"Mais le type d'entreprises de taille moyenne qui connaissaient le GDPR, mais qui n'avait peut-être pas beaucoup de processus spécialisé [pour traiter les demandes], a échoué."

Il a refusé d'identifier les organisations qui avaient mal traité les demandes, mais a ajouté qu'elles avaient inclus:

  • une chaîne hôtelière britannique partageant un enregistrement complet des nuitées de son partenaire
  • deux compagnies ferroviaires britanniques qui ont fourni des enregistrements de tous les trajets qu'elle a effectués avec elles pendant plusieurs années
  • Une entreprise éducative basée aux États-Unis qui a remis ses notes au lycée, le nom de jeune fille de sa mère et les résultats d'un sondage de vérification des antécédents criminels.

M. Pavur a toutefois nommé certaines des sociétés qui, selon lui, avaient bien fonctionné.

Copyright de l'image
James Pavur

Légende

M. Pavur affirme ne pas avoir violé la loi tout en conduisant le procès

Il a dit qu'ils incluaient:

  • le supermarché Tesco, qui avait demandé une photo d'identité
  • Bed Bath and Beyond, la chaîne de distribution nationale, qui avait insisté pour un entretien téléphonique
  • American Airlines, qui avait remarqué qu'il avait chargé une image vierge dans le champ de passeport de son formulaire en ligne

Un expert indépendant a déclaré que les résultats étaient "une véritable préoccupation".

"Envoyer les informations personnelles d'une personne à la mauvaise personne constitue autant une atteinte à la sécurité des données que de laisser traîner une clé USB non chiffrée ou d'oublier de déchiqueter des documents confidentiels", a déclaré le Dr Steven Murdoch, de l'University College London.

Limite de temps

La future épouse de M. Pavur lui a donné la permission d'effectuer les tests et a aidé à la rédaction des résultats, mais n'a autrement pas participé à l'opération.

Ainsi, pour la correspondance, le chercheur a créé une fausse adresse électronique pour son partenaire, au format "prénom-prénom initial-nom@gmail.com".

Un destinataire avait un mois pour répondre.

Il a ajouté qu'il pourrait fournir des documents d'identité supplémentaires via un "portail en ligne sécurisé" si nécessaire. Il s’agissait là d’une déception délibérée, car il estimait que de nombreuses entreprises ne disposaient pas de telles installations et n’auraient pas le temps de les créer.

Les attaques ont été menées en deux vagues.

Pour la première moitié des personnes contactées, il n'a utilisé que les informations détaillées ci-dessus. Mais pour le deuxième lot, il s’appuie sur les données personnelles révélées par le premier groupe pour répondre aux questions suivantes.

L'idée, a-t-il déclaré, est de reproduire le type d'attaque que pourrait commettre une personne commençant par les détails trouvés sur une page LinkedIn de base ou sur un autre profil public en ligne.

Faux cachets

Si l'organisation demandait une carte d'identité "forte", telle qu'un scan de passeport ou de permis de conduire, M. Pavur refusait.

Il a également décidé de ne pas créer de falsification de documents plus facilement falsifiés.

Ainsi, par exemple, il ne signerait pas de documents indiquant qu'il était la personne concernée. Il n'enverrait pas non plus des courriels avec des en-têtes usurpés lorsqu'il lui serait demandé d'écrire depuis le compte enregistré de la victime.

Mais il a essayé de convaincre les entreprises d'accepter des documents théoriquement faciles à reproduire, mais qui pourraient dans ce cas provenir de sa fiancée.

Ainsi, lorsqu'un opérateur de train a demandé une photocopie d'un passeport, il l'a convaincu d'accepter une enveloppe portant le cachet de la poste et à la "victime".

Dans une autre affaire, une entreprise de cybersécurité a accepté d’accepter la photo d’un relevé bancaire, qui avait été masquée, de sorte que les seules informations visibles étaient le nom et l’adresse de la cible.

Copyright de l'image
James Pavur

Légende

M. Pavur dit que, dans un cas, il avait accepté un relevé bancaire fortement rédigé

Parfois, un tel subterfuge était inutile.

Une société de jeux en ligne a demandé le mot de passe du compte du demandeur. Mais après avoir appris qu'il avait été oublié, M. Pavur a déclaré qu'il avait de toute façon divulgué les données personnelles de sa fiancée sans demander une vérification alternative.

Mots de passe exposés

M. Pavur a déclaré qu'un total de 60 informations personnelles distinctes concernant sa petite amie avaient finalement été révélées.

Ceux-ci comprenaient une liste des achats passés, 10 chiffres de son numéro de carte de crédit, sa date d'expiration et son émetteur, ainsi que ses adresses passée et présente.

En outre, une société d’information sur les menaces a fourni un enregistrement des noms d’utilisateur et des mots de passe violés détenus par son partenaire. Ceux-ci travaillaient toujours sur au moins 10 services en ligne car elle utilisait les mêmes connexions pour plusieurs sites.

Dans un cas, la lettre de demande du RPGP a été postée sur Internet après avoir été envoyée à une agence de publicité, constituant une violation de données en soi. Il contenait le nom, l'adresse, le courriel et le numéro de téléphone de la fiancée.

"Heureusement, il ne disposait que de données très simples", a déclaré M. Pavur.

"Mais vous pouvez imaginer que quelqu'un envoie une lettre avec des informations plus détaillées."

Dans l'ensemble, sur les 83 entreprises connues pour avoir détenu des données sur son partenaire, M. Pavur a déclaré:

  • 24% ont fourni des informations personnelles sans vérifier l'identité du demandeur
  • 16% ont demandé un type de pièce d'identité facilement forgée qu'il n'a pas fourni
  • 39% ont demandé une identité "forte"
  • 5% ont déclaré n'avoir aucune donnée à partager, même si la fiancée avait un compte sous leur contrôle
  • 3% ont mal interprété la demande et ont déclaré avoir supprimé toutes ses données
  • 13% ont totalement ignoré la demande