Escroquerie aux données bancaires en période estivale : comment se protéger ?

15 juillet 2024

Régulièrement, la CNIL communique sur des violations de données inspirées d’incidents réels qui lui sont notifiés. Cette publication a pour objectif de permettre à tous les professionnels de comprendre et de prévenir les risques de violation de données. La façon de procéder présentée dans ce document reflète l’organisation mise en œuvre par le responsable de traitement ayant servi d’inspiration à ce cas d’usage.

Escroquerie aux données bancaires en période estivale : comment réagir ?
À l’approche de la saison estivale, Jérôme réserve et paie son séjour dans un hôtel sur une plateforme de réservation en ligne. La veille du départ, il reçoit un message urgent de l’hôtel lui demandant de refournir ses informations bancaires en cliquant sur le lien présent, car le premier paiement n’est pas passé.
Trouvant la situation étrange, Jérôme vérifie l’adresse de l’expéditeur : c’est bien celle de la plateforme utilisée dans la confirmation de réservation. Dans le doute, il appelle l’hôtelier en question. Celui-ci lui confirme que tout est déjà réglé et qu’il n’aurait pas dû recevoir ce message de la plateforme de gestion.
Après avoir raccroché, l’hôtelier se connecte à la plateforme et s’aperçoit d’une anomalie dans l’onglet « messages envoyés » : ceux-ci disparaissent sans action de sa part.
L’hôtelier contacte le support de la plateforme. Le Centre des Opérations de Sécurité détecte des connexions ne provenant pas de l’adresse IP de l’établissement, mais cela ne semble pas lié à une attaque massive sur son système d’information. Cependant, une mauvaise gestion des mots de passe a compromis le compte utilisateur lié à la plateforme.
Le prestataire retrouve les traces des actions effectuées sur la plateforme, il est ainsi possible de savoir quels clients les attaquants ont pu cibler. L’hôtelier adresse un message d’information et de sensibilisation aux personnes concernées sous forme de questions/réponses. Enfin, il sensibilise son personnel à la protection des données.

Télécharger au format PDF

L’histoire de Jérôme, Jean-Claude et Bernard

Le faux message de confirmation d’une réservation

Jérôme, Jean-Claude et Bernard ont pris l’habitude de partir avec leurs familles en vacances. La saison estivale approchant, les trois amis décident de planifier leur prochain séjour et d’effectuer des réservations d’hôtel. Ils choisissent une destination et un hôtel et décident de réserver, chacun de leur côté.

Dans les jours qui suivent :

  • Jérôme et Jean-Claude utilisent une grande plateforme de réservation de voyage afin de de réserver et payer leurs chambres en ligne ;
  • Bernard effectue sa réservation directement auprès de l’hôtel avec paiement sur place.

La veille du départ, chacun d’eux reçoit un courriel émanant de l’hôtel, envoyé par le biais de la plateforme de réservation. Ce message leur indique que leur réservation doit être confirmée dans les prochaines heures, sans quoi cette dernière sera annulée et leur chambre réallouée. Le paiement préalablement effectué n’a pas pu passer et il leur est donc demandé de refournir leurs données bancaires, soit par réponse directe au courriel, soit depuis l’interface de paiement dédiée accessible depuis le lien présent dans le courriel.

Les réactions des trois clients

Jean-Claude répond au courriel : il indique souhaiter conserver sa réservation et fournit son numéro de carte bancaire dans le corps du message. Bien que cela ait peu de chances de réussir, il demande un sur-classement pour la gêne occasionnée, d’autant qu’il espère la visite d’une amie.

Jérôme, de son côté, trouve cette situation assez étrange et vérifie depuis sa boite courriel l’origine du message reçu. L’adresse de l’expéditeur est identique à celle utilisée dans les précédents échanges qu’il a pu avoir, ceux confirmant la réservation, proposant ensuite d’autres services annexes, etc. Jérôme, maintenant en confiance, clique donc sur le lien disponible au sein de courriel, se retrouve sur une interface de paiement ressemblant à s’y méprendre à celle de la plateforme de réservation et fournit les informations bancaires demandées.

Bernard lit le courriel et ne comprend pas : il n’a pas effectué de paiement et n’a pas utilisé la plateforme. Dans le doute et malgré l’heure tardive, il appelle directement l’hôtel comme il l’avait fait initialement afin de réserver. L’hôtelier lui indique tout d’abord que quelque soit le moyen de réservation initial utilisé, l’ensemble des informations de la clientèle est saisi dans leur outil de gestion fourni par la plateforme de voyage et duquel émane le courriel de confirmation suspect. Bernard lui demande si sa réservation est bien confirmée et s’il doit payer quelque chose. L’hôtelier est surpris de sa demande et lui indique de nouveau qu’il n’est pas nécessaire de payer en avance.

Après avoir raccroché, l’hôtelier se connecte à la plateforme et va vérifier les messages envoyés. Il n’y trouve rien de particulier dans un premier temps. Cependant, en rafraîchissant la page des courriels au sein de son espace « messages envoyés », il remarque que ces derniers disparaissent sans action de sa part. Quelque chose ne va pas.

Comment réagir ?

L’enquête interne

L’hôtelier contacte le support dédié de la plateforme, qui est un prestataire, c’est-à-dire un sous-traitant de l’hôtelier. Très rapidement, les équipes de la plateforme détectent une série de connexions ne provenant pas de l’adresse IP habituelle de l’hôtel. Ils bloquent le compte de l’hôtelier et lui demandent de réinitialiser son mot de passe.

Le Centre des Opérations de Sécurité (« SOC » ou « Security operations center ») de la plateforme n’a pas détecté d’attaques massives sur son système d’information qui auraient pu donner lieu à une compromission générale. Cependant, il ne s’agit pas du premier hôtelier qui est dans cette situation. Les affaires précédentes avaient montré, après enquêtes, que des hôteliers avaient vu leurs comptes de messagerie compromis à la suite d’un mauvais stockage de leurs mots de passe : ces derniers stockaient les mots de passe au sein de boîtes de messagerie elles-mêmes compromises via un courriel d’hameçonnage. Après vérification, il se trouve que l’hôtelier devant héberger notamment Jérôme, Jean-Claude et Bernard est dans ce cas-là.

 

La notification de la violation initiale à la CNIL

Aidé par son sous-traitant, l’hôtelier va devoir gérer la violation de données que constitue, au sens du RGPD, l’incident. Il dispose donc de 72 heures depuis la découverte de l’incident afin de réaliser cette notification auprès de la CNIL.

Le sous-traitant dispose de procédures internes de gestion des incidents et collecte déjà un certain nombre d’éléments afin d’aider le responsable de traitement à réaliser une notification de violation de données initiale. Il effectue, comme cela est fortement conseillé dans ce cas, un dépôt de plainte auprès de la brigade de gendarmerie territorialement compétente.

Tout d’abord, l’hôtelier consolide les informations collectées auprès de son prestataire et documente cet incident comme une violation de données personnelles. Après analyse et consultation des conseils de la CNIL sur le sujet, il notifie la violation de données.

 

L’alerte aux clients concernés

En parallèle, l’hôtelier ne met pas fin à ses actions. Il sait, par le biais de son prestataire qu’il dispose de sauvegardes et d’une journalisation fine des actions effectuées sur la plateforme de réservation. Il est ainsi possible pour lui de savoir  quels clients les attaquants ont pu contacter.

Des données bancaires ayant été potentiellement compromises, il vérifie les lignes directrices du CEPD sur les violations de données et détermine que le risque engendré par cette violation est élevé. Il rédige un message d’information à destination des clients potentiellement touchés, en donnant les informations obligatoires : les circonstances de l’incident, la nature des données concernées, le point de contact pour avoir des informations supplémentaires, les mesures déjà prises et envisagées ainsi que les conséquences possibles pour les personnes concernées, dans ce cas précis, le vol de données bancaires. Par ailleurs, le courriel comporte également un message de sensibilisation pour le grand public, précisant qu’il ne faut pas transmettre d’informations bancaires par courriel, que cette demande n’est jamais adéquate.

Après avoir contacté le cellule violation de la CNIL ([email protected]) pour s’assurer que l’information soit la plus claire possible pour les destinataires, il est décidé de l’écrire sous la forme de réponses aux questions suivantes : « Que s’est-il passé ? » « Comment avons-nous réagi ? » « Quelles données sont concernées ?» « Quelles sont les conséquences possibles ? » « Quelles sont nos recommandations ? » et « Qui contacter si vous avez des questions ? ». 

L’hôtelier réunit également son personnel afin de lui faire part de la situation et en profite pour le sensibiliser à la protection des données personnelles des clients.

 

La notification complémentaire

À la suite de l’information des personnes concernées, l’hôtelier réalise une notification complémentaire auprès de la CNIL et transmet les nouveaux éléments : dans ce cas particulier, la mise à jour du nombre de personnes concernées qui a été affiné depuis, ainsi que le nombre de personnes informées et un modèle non nominatif du message adressé à ces dernières.

Bien entendu, l’établissement conserve toutes ces informations et transmissions en interne.

Jean-Claude et Jérôme reçoivent le message d’information de l’hôtel et comprennent qu’ils doivent immédiatement vérifier les opérations sur leurs comptes bancaires et faire opposition sur les cartes qu’ils ont utilisées. On ne les y prendra plus. Jérôme, Bernard et Jean-Claude passent d’excellentes vacances et ont une histoire à raconter qui rappelle à tout le monde qu’il faut être très méfiant vis-à-vis des messages appelant à effectuer un paiement de manière urgente.

Comment limiter ce risque ?

Pour éviter que vos vacances commencent mal, suivez ces bonnes pratiques :

  1. En tant qu’utilisateur (ici les clients)

 Ne fournissez jamais de données bancaires dans le corps d’un courriel, personne ne peut ni ne doit vous demander cela. Utilisez uniquement des interfaces dédiées sécurisées (sur l’interface, vérifiez la présence d’un cadenas sur la page et de la mention https:// dans l’URL).

Ne cliquez pas sur des liens présents dans un courriel, notamment lorsque la demande de ce dernier vous parait étrange ou vous surprend. Connectez-vous directement sur le site d’où émane la demande (dans le cas de cet exemple, sur la plateforme de réservation de voyage). Si la demande est légitime, elle sera également présente sur cet espace.

Quel est le principal atout de Bernard ? Il est vigilant ! En cas de doute, contactez l’émetteur du message par un autre moyen (par téléphone ou directement via son site web) afin de lever ce doute et de confirmer, ou non, cette demande.

Pour aller plus loin dans la protection de ses propres données, il est possible de recourir à des moyens de paiement en ligne à usage unique comme le proposent certaines banques ou services spécialisés.

  1. Du côté du responsable de traitement (ici l’hôtelier)

  Sensibilisez de façon régulière vos usagers aux bonnes pratiques, organisez pour le personnel des séances de sensibilisation sur les risques et effectuez des rappels réguliers. Pour vos clients, informez-les que vous ne leur demanderez jamais la communication de leurs mots de passes ou autres données sensibles, telles que des données bancaires, par le biais de courriels.

Ne stockez pas vos mots de passe au sein de votre boîte courriel. En cas de compromission de cette dernière, l’attaquant aura accès à une multitude de services. Stockez vos mots de passe au sein d’un gestionnaire de mots de passe.

Dès que vous avez l’information – par le biais d’un prestataire par exemple – que l’un de vos mots de passe est compromis, ne l’utilisez plus.

Définissez, testez et améliorez vos procédures de gestion des incidents.

Assurez-vous qu’une journalisation fine des accès et actions est mise en place sur vos applications et celles de vos sous-traitants.

  1. Du côté du sous-traitant (ici la plateforme de réservation)

Comme pour le responsable de traitement, assurez-vous qu’une journalisation fine des accès et actions est mise en place sur vos applications

Analysez de façon proactive les journaux ainsi générés afin de détecter les évènements suspects pour pouvoir les traiter le plus rapidement possible. Informez vos clients des mesures de sécurité mises en place.

Proposez, en tant que sous-traitant pour les comptes gestionnaires (dans cet exemple, les hôteliers), une authentification multi facteur (« MFA »), soit pour l’ensemble du service, soit lors pour visualiser ou modifier certaines données.

Lorsque cela est possible, ne permettez l’accès aux outils visibles depuis Internet que depuis des adresses IP préalablement identifiées et autorisées.