Lundi 9 Septembre 2019
Laurent Leloup

La vérification d’identité : une faille importante dans le règlement RGPD

Par Arnaud Gallut, Directeur des Ventes Europe du Sud Ping Identity.


Le RGPD a été conçu pour aider à protéger les données personnelles des utilisateurs, mais il apparaît que l’un des droits qui leur sont accordés par le règlement a des conséquences contraires à l’effet souhaité.
Dans le cadre du règlement RGPD, les consommateurs peuvent exercer leur droit d’accès, qui leur permet de demander copie des données personnelles que les entreprises ont collectées sur eux. Ils peuvent exercer ces demandes verbalement ou par écrit, et les entreprises doivent y répondre dans un délai maximum d’un mois. En règle générale, les entreprises n’ont pas le droit de facturer les frais relatifs au traitement de ces demandes.

Les avantages de ce droit d’accès pour les consommateurs sont évidents, mais selon une recherche menée par James Pavur, étudiant en PhD à l’Université d’Oxford, dans leurs efforts pour se conformer au règlement RGPD, les entreprises oublient régulièrement de s’assurer que ces demandes d’accès sont légitimes. Ce qui crée une nouvelle menace pour la sécurité des données personnelles.

Comme il est mentionné dans la présentation qu’il a donnée à la récente conférence Black Hat à Las Vegas, James Pavur a envoyé 150 demandes d’accès RGPD à des entreprises non pas en son nom mais en celui de sa fiancée. Près des trois quarts des entreprises ont répondu à ces demandes, et 83 d’entre elles ont répondu qu’elles détenaient des données liées à sa fiancée. Parmi celles-ci, près d’un quart lui ont fourni ces données après réception d’une simple adresse email et/ou d’un numéro de téléphone à fin de vérification d’identité. 16% d’entre elles ont accepté des documents d’identité qui auraient pu être facilement falsifiées.

Plus inquiétant, James Pavur a même pu obtenir des informations sensibles sur sa fiancée sans aucune vérification d’identité. Dans un cas, il a reçu le numéro de sécurité sociale US de sa fiancée sans avoir eu à fournir le moindre document d’identité. Globalement, dans 60% des cas dans lesquels James Pavur a reçu des données de la part d’une entreprise, ces données auraient pu avoir une utilité plausible pour un acteur malveillant, et dans 15% des cas, ces données auraient pu avoir une utilité évidente pour ces mêmes acteurs.

James Pavur a également pu montrer comment des données transmises par des entreprises différentes auraient pu être combinées par des pirates. Par exemple, sur la base de multiples demandes d’accès, il a été capable d’obtenir dix chiffres du numéro de carte de crédit de sa fiancée, la date d’expiration de la carte, et le nom et code postal de la banque d’émission. Autre élément intéressant, sur la base d’une demande RGPD adressée à un spécialiste du renseignement sur les menaces, il a été capable d’obtenir des noms d’utilisateur et mots de passe piratés associés à sa fiancée, certains d’entre eux étant toujours utilisés par elle pour d’autres services en ligne, dont une application bancaire.

Un besoin urgent

Clairement, les demandes d’accès créent un risque nouveau et précédemment peu identifié pour les entreprises.
Même si la conformité au règlement RGPD a recueilli toute l’attention de nombreuses entreprises, et les recherches de James Pavur indiquent qu’un large pourcentage d’entre elles prennent l’exercice des demandes d’accès très au sérieux, l’absence d’un standard sur ce que constitue une vérification d’identité raisonnable génère une nouvelle vulnérabilité pour les entreprises et donne à des acteurs malveillants la capacité de transformer une loi de protection de la vie privée en une arme pour voler des données personnelles.

Peu surprenant sans doute, alors que les petites et moyennes entreprises sont celles qui ont eu le plus de difficultés à se préparer au RGPD, ce sont également elles qui sont les plus vulnérables aux abus liés aux demandes d’accès. Selon James Pavur, les grandes entreprises à qui il a envoyé des demandes « ont globalement bien réagi. » Les organisations non gouvernementales et les entreprises de taille moyenne en revanche, ont été responsables de 70% des demandes traitées sans vérification d’identité suffisante.
« Ceci peut suggérer qu’il existe pour les attaquants une configuration idéale en ciblant des organisations suffisamment grandes pour être sensibles et concernées par le règlement RGPD mais d’une taille suffisamment faible pour ne pas avoir dédié de ressources suffisantes au respect de la conformité, » a-t-il ajouté.

En raison des risques potentiels élevés que pose la divulgation de données personnelles à des acteurs malveillants, les entreprises de toutes tailles doivent désormais s’attacher en priorité à sécuriser les demandes d’accès. Même si le règlement GDPR ne prescrit pas d’exigences spécifiques concernant la vérification d’identité, les entreprises doivent créer des règles et procédures standard pour traiter ces demandes.

Dans ce cadre, elles pourraient commencer par adopter des procédures de bon sens, telles que demander aux consommateurs de se connecter à des comptes connus pour être associés à eux ou, en cas d’impossibilité, en leur demandant de fournir copie de documents d’identité officiels pour prouver qu’ils sont bien ce qu’ils sont censés être.
De plus, les entreprises doivent créer des politiques conçues pour prévenir toute fuite de données résultant de demandes d’accès suspects, telles celles ayant pour origine des adresses email non directement associées au demandeur.
En prenant ces mesures immédiatement, les entreprises peuvent réduire leur vulnérabilité et s’assurer que l’objectif du règlement GDPR n’est pas compromis par des efforts visant à sa mise en application.

Par Arnaud Gallut, Directeur des Ventes Europe du Sud Ping Identity.

À propos de Ping Identity
Ping Identity envisage un monde numérique basé sur l’identité intelligente. Nous aidons les entreprises à mettre en place une sécurité zéro confiance fondée sur les identités, et à offrir des expériences utilisateurs plus personnalisées et rationalisées. La plateforme Ping Intelligent Identity permet aux clients, employés et partenaires d’accéder aux API et applications cloud, mobiles, SaaS et locales, tout en assurant une gestion adaptée des données d’identité et de profil. Plus de la moitié des entreprises classées au Fortune 100 nous choisissent pour notre expertise en gestion des identités, notre leadership sur le marché des normes ouvertes et notre partenariat avec des entreprises telles que Microsoft, Amazon et Google. Nous proposons des options flexibles permettant d’étendre les environnements hybrides et d’accélérer les initiatives numériques de l’entreprise grâce à des fonctionnalités d’authentification multifacteur, de single sign-on, de gestion des accès, de sécurisation intelligente des API, d’annuaire et de gouvernance des données.
pingidentity.com

FINYEAR & CHAINEUM

Lisez gratuitement le quotidien Finyear & sa newsletter quotidienne.
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en finance digitale, corporate finance & crypto finance.

Read for free The daily newspaper Finyear & its daily newsletter.
Receive the Finyear's newsletter every morning by email, a daily snapshot of the best news and expertise in digital finance, corporate finance & crypto finance.

------------------------

Chaineum :
Fondée en 2015, Chaineum est un cabinet de conseil en opérations de haut de bilan offrant une expertise de premier plan en matière d’ICO et STO, avec une vision stratégique orientée tant vers le métier de ses clients que sur la technologie blockchain. A ce titre, Chaineum a participé à la mise en œuvre de bonnes pratiques dans le secteur (ICO Charter, Security Token Network).
La division services blockchain de Chaineum, développe la technologie Chaineum Segment, une blockchain privée orientée objets.

About Chaineum:
Founded in 2015, Chaineum is a leading corporate finance advisory firm with a strong expertise in ICO and STO, and a strategic focus on both its clients' business and blockchain technology. As such, Chaineum paved the way in the implementation of certain best practices in this sector (ICO Charter, Security Token Network).
Chaineum's blockchain services division, is developing Chaineum Segment technology, an object-oriented private blockchain.

-------------------------

No Offer, Solicitation, Investment Advice, or Recommendations

This website is for informational purposes only and does not constitute an offer to sell, a solicitation to buy, or a recommendation for any security, nor does it constitute an offer to provide investment advisory or other services by FINYEAR.
No reference to any specific security constitutes a recommendation to buy, sell or hold that security or any other security.
Nothing on this website shall be considered a solicitation or offer to buy or sell any security, future, option or other financial instrument or to offer or provide any investment advice or service to any person in any jurisdiction.
Nothing contained on the website constitutes investment advice or offers any opinion with respect to the suitability of any security, and the views expressed on this website should not be taken as advice to buy, sell or hold any security. In preparing the information contained in this website, we have not taken into account the investment needs, objectives and financial circumstances of any particular investor.
This information has no regard to the specific investment objectives, financial situation and particular needs of any specific recipient of this information and investments discussed may not be suitable for all investors.
Any views expressed on this website by us were prepared based upon the information available to us at the time such views were written. Changed or additional information could cause such views to change.
All information is subject to possible correction. Information may quickly become unreliable for various reasons, including changes in market conditions or economic circumstances.

Articles similaires