Protéger les données personnelles des consommateurs

Recommandations du BVG sur la sécurité des données

En vertu de la loi new-yorkaise, les entreprises doivent utiliser des garanties raisonnables pour protéger les informations personnelles des New-Yorkais. Lorsqu'il apparaît qu'une entreprise n'a pas respecté cette obligation, l'OAG procède à une enquête et, le cas échéant, prend des mesures. Ce rapport met en lumière les conclusions de plusieurs enquêtes récentes de l'OAG et propose des conseils simples qui peuvent aider les entreprises à renforcer leurs programmes de sécurité des données et à mieux protéger les informations des consommateurs.

Maintenir des contrôles pour une authentification sécurisée

Si votre entreprise stocke des informations sur les clients, des procédures d'authentification forte peuvent contribuer à garantir que seules les personnes autorisées peuvent accéder aux données. Les politiques et procédures de votre entreprise doivent

Utiliser une méthode d'authentification sécurisée

Pour de nombreux systèmes protégés par un mot de passe, un mot de passe volé peut suffire à un cybercriminel pour accéder à des informations confidentielles et sensibles. Malheureusement, les cybercriminels ont développé une myriade de moyens pour mettre la main sur les mots de passe. Ainsi, dans de nombreux cas, l'authentification par mot de passe n'est pas en soi un mécanisme sûr d'authentification des utilisateurs. Les entreprises devraient utiliser une solution plus sûre, telle que l'authentification à plusieurs facteurs, en particulier pour les comptes administratifs ou les comptes d'accès à distance. Il est important de noter que cela s'applique aussi bien aux comptes des employés internes qu'aux comptes des clients.

Deux cyberattaques récentes sur lesquelles le BVG a enquêté illustrent les risques liés à l'authentification par mot de passe uniquement. En 2022, nous avons annoncé un règlement avec EyeMed après que des pirates aient accédé à un compte de messagerie d'entreprise contenant des données sensibles sur les clients. EyeMed n'avait pas exigé d'authentification multifactorielle lors de la connexion, ce qui aurait pu contrecarrer les tentatives d'accès au compte par l'attaquant. L'intrusion a permis à l'attaquant d'accéder à des courriels et à des pièces jointes datant de six ans, y compris les noms, adresses, numéros de sécurité sociale et numéros de compte d'assurance des consommateurs.

De même, en 2022, nous avons annoncé un règlement avec Carnival Cruise suite à l'accès non autorisé d'un pirate aux comptes de messagerie des employés de Carnival. La violation a exposé des informations sensibles sur les clients et les employés, notamment des numéros de passeport, des numéros de permis de conduire, des informations sur les cartes de paiement, des informations sur la santé et des numéros de sécurité sociale. Il est à noter que la notification aux consommateurs a été particulièrement difficile dans ces cas parce que les entreprises n'avaient pas de visibilité sur ces données qui étaient stockées dans des courriels pendant de nombreuses années, ce qui a entraîné des mois de retard.

Exiger des mots de passe longs et sûrs

La difficulté de garder la trace de plusieurs mots de passe incite les gens à utiliser des mots de passe faciles à retenir et à les réutiliser à l'infini. Sans surprise, le mot de passe le plus courant est : password. Le deuxième plus courant : 123456. N'oubliez pas que chaque caractère supplémentaire rend le mot de passe beaucoup plus difficile à déchiffrer. L'ajout de symboles et de chiffres rend la tâche encore plus difficile. Si un ordinateur pouvait déchiffrer le mot de passe à six caractères en une seconde, il faudrait plus de deux millions d'années pour déchiffrer un mot de passe à 12 caractères^.2 La faille de Carnaval a probablement été causée par la recherche automatique de mots de passe, appelée "attaque par force brute".

En outre, en plus d'imposer des exigences en matière de complexité des mots de passe, ce qui peut amener les utilisateurs à ajouter simplement un chiffre ou un caractère spécial à la fin d'un mot de passe facile à deviner (comme Password1 ou Password !), les entreprises devraient envisager de comparer les mots de passe choisis par les utilisateurs avec les bases de données de mots de passe piratés et d'interdire l'utilisation de mots de passe spécifiques au contexte, tels que le nom de l'utilisateur/de l'entreprise ou la date de naissance.

Sécuriser les mots de passe contre les attaques

Il est essentiel de protéger les mots de passe contre les attaques. Dans la plupart des cas, cela nécessite un "hachage", un processus qui transforme les mots de passe en une chaîne de lettres et/ou de chiffres afin qu'ils ne puissent pas être lus ou utilisés s'ils tombent entre de mauvaises mains. Les entreprises doivent utiliser une méthode de hachage qui n'est pas susceptible de faire l'objet de tentatives de craquage de mot de passe. Cela nécessite généralement la sélection d'un algorithme de hachage approprié et l'utilisation de caractères aléatoires supplémentaires, parfois appelés "sel".

Notre bureau a pris à plusieurs reprises des mesures à l'encontre d'entreprises qui n'avaient pas sécurisé les mots de passe de leurs clients. Par exemple, l'OAG a récemment obtenu un règlement avec Wegmans après qu'une enquête ait révélé que l'entreprise avait utilisé une méthode de hachage obsolète pour certains mots de passe de clients, y compris un algorithme de hachage qui pouvait facilement être détourné.

Crypter les informations sensibles des clients

Les cybermenaces évoluant sans cesse, aucune mesure de protection ne peut être efficace à 100 %. C'est pourquoi il est essentiel que les entreprises ne se contentent pas de se défendre contre les accès non autorisés, mais qu'elles mettent également en place des contrôles au cas où ces défenses échoueraient. Pour la plupart des entreprises qui traitent des informations sensibles sur leurs clients, ces contrôles doivent inclure le cryptage, un processus de brouillage des informations qui ne peut être inversé qu'à l'aide d'une clé secrète, appelée clé de décryptage.

Dans notre récente affaire CafePress, nous avons constaté qu'une place de marché en ligne populaire n'avait pas crypté de manière sécurisée les informations relatives aux acheteurs et aux vendeurs, notamment les numéros de sécurité sociale et les numéros d'identification fiscale associés à plus de 180 000 comptes de vendeurs, qui étaient laissés en texte clair. Un cybercriminel ayant accédé au système de l'entreprise a pu voler ces informations et les a finalement mises en vente sur le dark web. Si les informations avaient été cryptées, elles auraient été protégées même entre les mains d'un cybercriminel.

Veiller à ce que les fournisseurs de services utilisent des mesures de sécurité raisonnables

Les entreprises qui confient des informations sur leurs clients à leurs prestataires de services sont tenues de s'assurer que ces derniers utilisent des mesures de sécurité appropriées pour protéger ces informations. Le non-respect de cette règle peut mettre en péril les informations relatives aux clients. En 2022, nous avons conclu un accord avec T-Mobile à la suite d'une violation au cours de laquelle un acteur non autorisé a eu accès à des informations sur les clients stockées sur le réseau de son fournisseur. Les informations consultées comprenaient des noms, des adresses, des dates de naissance, des numéros de sécurité sociale, des numéros d'identification (tels que les numéros de permis de conduire et de passeport), ainsi que des informations connexes utilisées dans les évaluations de crédit de T-Mobile.

Dans le cadre de l'accord conclu avec l'OAG, T-Mobile a accepté des dispositions détaillées en matière de gestion des fournisseurs, destinées à renforcer la surveillance de ces derniers à l'avenir. Il s'agit notamment de la tenue d'un inventaire des contrats des fournisseurs de T-Mobile, y compris l'évaluation des risques des fournisseurs en fonction de la nature et du type d'informations qu'ils reçoivent ou conservent ; de l'imposition d'exigences contractuelles en matière de sécurité des données aux fournisseurs et aux sous-traitants de T-Mobile ; de la mise en place de mécanismes d'évaluation et de contrôle des fournisseurs ; et de la prise de mesures appropriées en cas de non-respect des règles par les fournisseurs, y compris la résiliation des contrats.

Les entreprises qui font appel à des fournisseurs de services doivent prendre des mesures raisonnables pour s'assurer que ces derniers mettent en œuvre des mesures de sécurité appropriées, y compris celles décrites dans le présent rapport. Dans la plupart des cas, il s'agirait de faire preuve de diligence dans la sélection des fournisseurs de services disposant de programmes de sécurité des données appropriés, d'intégrer les attentes en matière de sécurité dans les contrats avec les fournisseurs de services et de contrôler le travail des fournisseurs de services afin de garantir la conformité.

Sachez où vous conservez les informations relatives aux consommateurs

Une entreprise ne peut pas protéger correctement les informations relatives aux clients si elle ne sait pas où ces informations sont conservées. L'affaire Wegmans met en évidence les dangers de la perte de données sur les clients. Dans cette affaire, un chercheur en sécurité a contacté le détaillant en alimentation après avoir découvert que l'un des conteneurs de stockage en nuage de l'entreprise était configuré de manière à permettre un accès public à son contenu. Le conteneur contenait des fichiers de sauvegarde de bases de données contenant les informations de plus de trois millions de clients. Lorsque le chercheur en sécurité a contacté l'entreprise, le personnel de sécurité de l'entreprise ignorait que les anciens fichiers de sauvegarde étaient même stockés à cet endroit.

L'entreprise aurait pu éviter cet incident si elle avait tenu un inventaire des actifs contenant des informations sur les clients. Avec un inventaire des actifs, elle aurait su que ces conteneurs en nuage contenaient des fichiers avec des informations sur les clients et aurait donc pu effectuer des tests de sécurité appropriés, ce qui aurait peut-être permis d'identifier la mauvaise configuration plus tôt.

Compte tenu de la rotation du personnel et de l'évolution des pratiques au fil du temps, il est essentiel de tenir un inventaire des actifs qui permette de savoir où sont conservées les informations personnelles afin de les sécuriser de manière appropriée. Il est également très important de maintenir la sécurité de l'inventaire des biens.

Protéger les applications web contre les fuites de données

Les informations sensibles ne doivent jamais être divulguées par le biais d'un site web ou d'une application sans une authentification appropriée. Dans de nombreux cas, il n'est pas nécessaire - ni approprié - de divulguer ces informations. Au contraire, les informations sensibles doivent être masquées, par exemple en n'envoyant que les quatre derniers chiffres d'un numéro de carte de crédit. Les entreprises doivent vérifier leurs applications web pour s'assurer que les données sensibles ne sont transmises que sous forme non masquée, le cas échéant.

Protéger les comptes clients touchés par des incidents de sécurité des données

Les cyberattaques réussies peuvent non seulement permettre aux attaquants d'accéder aux informations sur les clients, mais aussi, dans certains cas, aux comptes en ligne des clients. Lorsqu'un pirate a compromis la sécurité du compte d'un client, par exemple en volant ses identifiants de connexion ou en s'introduisant dans le compte, les entreprises doivent prendre des mesures pour sécuriser le compte et protéger le client contre d'autres préjudices.

Nous avons récemment pris des mesures à l'encontre d'une entreprise qui n'avait pas protégé les comptes de ses clients touchés par un incident de sécurité des données. En 2018, des attaquants ont infiltré les systèmes de Zoetop et volé diverses informations sur les clients, notamment les identifiants de connexion de dizaines de millions de comptes clients SHEIN. Or, pour la grande majorité de ces comptes, Zoetop n'a pris aucune mesure pour protéger ses clients, par exemple en réinitialisant les mots de passe des comptes ou en avertissant les clients que leurs comptes étaient menacés. À l'issue d'une enquête, l'OAG a obtenu un règlement qui obligeait l'entreprise à adopter des politiques améliorées en matière de réponse aux incidents.

Lorsque les identifiants de connexion ou les comptes des clients ont été compromis, ou qu'il y a de fortes chances qu'ils l'aient été, l'entreprise doit prendre plusieurs mesures. Tout d'abord, elle doit agir rapidement pour bloquer l'accès des attaquants aux comptes. Dans la plupart des cas, cela nécessite de réinitialiser immédiatement les mots de passe des comptes qui ont probablement été touchés par les attaques. Dans certains cas, il peut également être approprié de prendre des mesures supplémentaires, comme le gel des comptes concernés. Deuxièmement, dans la plupart des cas, l'entreprise doit rapidement informer les clients concernés. L'avis permet aux clients de prendre des mesures pour se protéger, par exemple en vérifiant si leurs comptes en ligne ou leurs états financiers ne sont pas frauduleux et en sécurisant d'autres comptes en ligne qui utilisent les mêmes identifiants de connexion compromis.

Supprimer ou désactiver les comptes inutiles

Les comptes anciens et inutilisés, parfois appelés comptes orphelins, sont les favoris des attaquants qui cherchent à accéder aux systèmes protégés. Ces comptes ne sont généralement pas surveillés et utilisent souvent des informations d'identification qui restent inchangées pendant des années. Lors d'une récente violation signalée par un fournisseur scolaire, des pirates ont pu accéder aux systèmes de l'entreprise en utilisant la clé d'accès d'un ancien employé. Bien que l'employé ait quitté l'entreprise plusieurs années avant l'attaque, le compte et la clé d'accès sont restés inchangés car l'entreprise n'éliminait pas les comptes inactifs et n'exigeait pas la mise à jour des informations d'identification.

Les entreprises doivent mettre en place des procédures pour supprimer ou désactiver les comptes ayant accès à des informations sensibles lorsque les employés quittent l'entreprise ou que les contrats avec les fournisseurs prennent fin. La plupart des entreprises devraient également procéder à un audit régulier de leurs comptes afin d'identifier ceux qui sont restés inactifs pendant une longue période.

Se prémunir contre les attaques automatisées

Le " credential stuffing " reste l'une des formes les plus courantes d'attaque des comptes clients. Ce type d'attaque consiste généralement en des tentatives répétées de connexion à des comptes en ligne en utilisant des noms d'utilisateur et des mots de passe volés à d'autres services en ligne. Les cybercriminels utilisent souvent des logiciels automatisés, ou "bots", capables d'effectuer des centaines de tentatives de connexion simultanément sans intervention manuelle. Une fois qu'un cybercriminel a réussi à se connecter à un compte, il peut être en mesure d'effectuer des achats en utilisant une carte de crédit enregistrée sur le compte, de voler une carte-cadeau enregistrée sur le compte, d'utiliser les données du client enregistrées sur le compte dans le cadre d'une attaque par hameçonnage, ou de vendre les identifiants de connexion sur le dark web.

Notre bureau a également pris des mesures à l'encontre d'une entreprise qui n'avait pas réagi de manière appropriée à des attaques réussies de " credential stuffing " (bourrage d'informations d'identification). Dans un récent procès contre Dunkin' Donuts, nous avons allégué que des dizaines de milliers de comptes clients de Dunkin' avaient été compromis dans une série d'attaques en ligne. Bien que Dunkin' ait eu connaissance de ces attaques, l'entreprise n'a pris aucune mesure pour protéger les clients dont elle savait que les comptes avaient été compromis, notamment en informant les clients concernés de la violation, en réinitialisant les mots de passe des comptes afin d'empêcher tout nouvel accès non autorisé ou en gelant les cartes à valeur stockée enregistrées sur les comptes des clients.

Pour de nombreuses entreprises, les attaques de type "credential stuffing" sont inévitables. C'est pourquoi les entreprises qui gèrent des comptes en ligne pour leurs clients doivent mettre en place un programme de sécurité des données comprenant des mesures de protection efficaces pour protéger les clients contre les attaques de type "credential stuffing". En janvier 2022, nous avons publié un Business Guide for Credential Stuffing Attacks qui détaillait quatre domaines dans lesquels des mesures de protection doivent être maintenues, ainsi que des mesures de protection spécifiques qui se sont avérées efficaces.

Informer les consommateurs de manière claire et précise

Lorsque des informations sur les consommateurs tombent entre les mains d'attaquants, la notification permet aux consommateurs de prendre des mesures pour se protéger. C'est pourquoi il est essentiel que les entreprises informent les consommateurs en temps utile et avec précision. Lorsqu'une entreprise émet des déclarations trompeuses dans le but de minimiser l'ampleur ou la gravité d'une attaque, elle peut donner aux consommateurs un faux sentiment de sécurité. Elle peut également enfreindre la loi new-yorkaise.

Nous avons récemment pris des mesures pour demander des comptes à une entreprise qui avait fait des déclarations trompeuses à la suite d'un attentat. Comme indiqué ci-dessus, en 2018, des attaquants ont infiltré les systèmes de Zoetop et ont volé diverses informations sur les clients. Zoetop a été informé de l'attaque par son prestataire de services de paiement, qui a écrit qu'il disposait d'informations "indiquant que le(s) système(s) de [Zoetop] a(ont) été infiltré(s) et que des données de cartes [de crédit] ont été volées". Dans une déclaration publique faite à la suite de la violation, Zoetop a cependant écrit à tort qu'il n'y avait "aucune preuve" que des informations relatives à des cartes de crédit avaient été extraites de ses systèmes. Zoetop a également déclaré publiquement, à tort, qu'il était en train de notifier les clients qui avaient été touchés par l'attaque. En fait, Zoetop n'a pas informé la grande majorité des clients dont les informations de connexion avaient été volées.

La notification est un aspect essentiel de la réponse aux incidents. Les entreprises doivent veiller à ce que la notification soit faite en temps utile et qu'elle transmette de manière claire et précise les informations importantes relatives à l'attaque.

Conclusion

New York s'enorgueillit d'être un leader national en matière d'innovation et de progrès. Nous excellons dans la création de nouvelles technologies passionnantes qui peuvent améliorer la vie des gens, mais nous devons veiller à ce que les consommateurs puissent naviguer dans le monde numérique en toute sécurité et de manière responsable. Les techniques et les tactiques des cybercriminels ne cessent de s'améliorer, tout comme nos efforts pour les arrêter. Les organisations peuvent prendre des mesures relativement simples pour sécuriser leurs systèmes et réduire ou éliminer les violations de données. Ce guide devrait aider les organisations à renforcer leurs programmes de sécurité des données afin qu'elles puissent offrir aux New-Yorkais la meilleure sécurité des données du pays.

¹ Le présent rapport est fourni à titre d'information uniquement et ne doit pas être interprété comme une déclaration de droit, un avis juridique ou une politique de l'État de New York. Le document peut être copié, à condition que (1) le sens du texte copié ne soit pas modifié ou déformé, (2) que le Procureur général de l'État de New York soit mentionné et (3) que toutes les copies soient distribuées gratuitement.

² Jean-Paul Delahaye, The Mathematics of Hacking, Scientific American, 12 avril 2019, https://www.scientificamerican.com/article/the-mathematics-of-hacking-passwords (dernier accès le 4 mars 2023).