Vol de données chez Swisscom, que pouvons-nous en penser?

11 février 2018
Vol de données chez Swisscom, que pouvons-nous en penser?
Inside

Situation :

Swisscom a annoncé ce matin que des informations personnelles de 800’000 personnes ont été volées en automne 2017. Ces informations n’ont pas été prises par un hack, mais par un partenaire de confiance qui a accès à la base de données.
Ces informations incluent : nom, adresse, numéro de téléphone et date de naissance. Les mots de passe et informations de paiement ne sont pas concernés.

Analyse :

Il y a plusieurs points que je trouve intéressants :

Pourquoi que 800’000? Swisscom a beaucoup plus de clients. Est-ce qu’il s’agit d’un sous-groupe de clients? et si oui, lesquels ?
Car si c’est la liste des mauvais payeurs (par exemple) elle aurait une très grande valeur sur le marché gris/noir (pour une compagnie de demandeur de crédit par exemple…)

Swisscom est une des plus grandes institutions technologiques en Suisse et a une position forte dans la cyber-sécurité. Comment se fait-il qu’ils n’aient pas mis en place un système pour alerter lorsqu’un partenaire accède à un nombre déraisonnable de données dans leur base ? Si habituellement le partenaire regarde 10’000 clients par jour, il devrait y avoir une alerte le jour où 30’000 sont accédées.

Swisscom a eu plusieurs mois pour préparer l’annonce de l’incident ; et Swisscom aurait pu montrer l’exemple en étant transparente sur l’incident et sur les actions prises, mais leur communiqué de presse est très superficiel et peu utile. C’est dommage pour l’image de Swisscom et de la Suisse en général.
Il devrait envoyer un SMS à toutes les personnes concernées pour s’excuser, expliquer ce qu’il s’est passé, expliquer le risque que la victime encourt et donner des recommandations pour diminuer ce risque

Que peuvent faire les criminels avec ces informations ?

Les criminels sont généralement très créatifs pour monétiser des informations volées. Voici quelques idées / exemple :
Envoyer de la pub très ciblée en fonction de l’adresse de la personne par SMS ou télémarketing.
Appeler une personne sur son portable avant de faire un cambriolage pour savoir s’il est en vacances.
Chercher des personnes sur les réseaux sociaux pour ensuite les harceler par téléphone.

Steven Meyer
Partner & CEO
Ing. EPFL, CISSP

ZENData Sarl: https://zendata.ch/fr/

 

Recommandé pour vous

 
Adopter une Nouvelle Perspective pour la Nouvelle Année
Adopter une Nouvelle Perspective pour la Nouvelle Année
Edito de Thierry DIME – Ce que l’échec m’a appris
Edito de Thierry DIME – Ce que l’échec m’a appris
Tendances RH 2025 : L’essor des soft skills dans un monde en mutation
Tendances RH 2025 : L’essor des soft skills dans un monde en mutation
Édito de Thierry DIME – Femmes dirigeantes : entre brillance et réticences
Édito de Thierry DIME – Femmes dirigeantes : entre brillance et réticences
Prise de parole en public : la compétence clé pour un dirigeant
Prise de parole en public : la compétence clé pour un dirigeant
BRAFA 2025, une septantième édition sous le signe du chromatisme festif
BRAFA 2025, une septantième édition sous le signe du chromatisme festif