Vol de données: les entreprises "n'ont pas tiré toutes les conséquences du télétravail", alerte la Cnil

"Svp, c'est le livreur, j'ai un colis qui ne rentrait pas dans la boîte aux lettres, veuillez choisir un relais locker": ce SMS, accompagné d'un lien sur lequel il ne faut surtout pas cliquer, beaucoup l'ont reçu ces derniers jours. Un hameçonnage typique comme on en voit beaucoup depuis plusieurs années mais attention, les arnaques sont de mieux en mieux ficelées. Surtout, les pirates ont parfois accès à votre nom et prénom et le SMS les nomme précisément. De quoi faire douter les personnes pourtant méfiantes.
C'est la conséquence de l'augmentation massive des vols de données concernant des millions de Français. "Le nombre de violations touchant plus d’un million de personnes a ainsi doublé en un an, passant d’une vingtaine à une quarantaine d’attaques réussies, et touchant des acteurs privés et publics très présents dans le quotidien des Français", alerte la Commission nationale de l'informatique et des libertés (Cnil), dans son rapport annuel publié mardi 29 avril.
"Criminalité organisée"
"Plus de la moitié des 5.600 notifications de l'année dernière étaient liées à du piratage. Le reste provient de failles humaines, de vols d'ordinateurs mais aussi des mails envoyés à des mauvais destinataires etc", précise ce mercredi sur RMC sa présidente, Marie-Laure Denis.
Un vol de données, c'est lorsqu'il y a un "incident malveillant, ou pas, qui compromet la disponibilité de vos données. C'est à dire ne plus y avoir accès ou sa confidentialité. Ces données sont alors partagées avec d'autres que vous et peuvent vous identifier", rappelle-t-elle au micro d'Apolline matin.
Pour quel intérêt? "C'est de la criminalité organisée, avec la digitalisation de la société. C'est la valeur à la revente sur le darkweb, naturellement, qui intéresse. Il y a un intérêt financier pour ces pirates", développe Marie-Laure Denis.
2024 a été une année record s’agissant des plaintes reçues : la Cnil a ainsi reçu un total de 17.772 plaintes. À l’exception d’une série de 2.423 plaintes reçues en fin d’année et dont l’instruction se poursuit, la Cnil a traité en 2024 plus de saisines (15.639) qu’elle n’en a reçues (15.350), peut-on lire dans le rapport.
"Le grand risque est l'usurpation d'identité, des gens vont se faire passer pour vous pour avoir accès à vos comptes et obtenir un remboursement que vous auriez dû obtenir", explique la présidente de la Cnil.
"Le risque pour les particuliers est le hameçonnage, vous recevez un mail de votre banque, de votre mutuelle, du livreur de colis, avec des informations crédibles. Le premier réflexe est de se méfier des messages inattendus qui demandent en urgence de réaliser des opérations comme un paiement ou donner des d'accès", avec un lien sur lequel il faut cliquer", conseille Marie-Laure Denis, qui concède elle-même avoir des doutes sur certains mails qu'elle reçoit.
France Travail attaqué l'année dernière
Les très grandes entreprises et administrations sont notamment pointées du doigt par la Cnil: "Il appartient aux grandes entreprises de prendre des mesures de sécurité adéquates". Pour rappel, France Travail a été victime l'année dernière d’une cyberattaque ayant conduit à une fuite de données susceptible de toucher 43 millions de personnes. Nom, prénom, adresse, courriel, numéro de téléphone et numéro de Sécurité sociale des inscrits ont été aspirés. Surtout, Radio France révélait l'année dernière que l'organisme avait été alerté dès 2022 d'un risque de piratage. Sans rien que ne soit fait.
"Nous pouvons prendre des sanctions financières"
"Ces organismes n'ont pas tiré toutes les conséquences du télétravail et l'accès à distance de leur base, à travers les salariés, les sous-traitants et les prestataires", regrette Marie-Laure Denis. "On va renforcer les exigences à l'égard de ces détenteurs de très grosses bases de données. On va commencer à contôler à partir de 2026, nous pouvons prendre des sanctions financières", met-elle en garde.
La présidente poursuit: "Nous allons leur demander la double authentification, très concrètement, c'est au-delà du mot de passer, s'identifier avec un deuxième facteur, sur un support sur lequel le pirate ne peut pas avoir accès, comme un code sur votre téléphone."