Fin janvier, de prétendues données provenant d'environ 50 millions de clients Europcar ont été proposées dans un forum clandestin. Europcar a réagi rapidement et a nié qu'il s'agisse d'un véritable dossier.
Les données ne sont pas cohérentes et les adresses email notamment ne sont pas connues d'Europcar. Alors qu'Europcar suggère que ces données ont été générées à l'aide d'une IA générative (par exemple ChatGPT), d'autres chercheurs en sécurité estiment qu'aucune IA n'était à l'œuvre ici. Mais ce qu’ils ont tous en commun, c’est l’opinion selon laquelle ces données ont été générées par des machines. Le soupçon est rapidement apparu sur le forum selon lequel les données proposées à la vente n'étaient pas authentiques, ce qui a finalement conduit au blocage du vendeur sur le forum. Aussi intéressante que puisse paraître l’histoire à première vue, un regard « derrière l’histoire » révèle d’autres aspects intéressants :
Honneur parmi les criminels
Ces dernières années, l’environnement des ransomwares s’est largement répandu autour du prétendu « honneur » des cybercriminels : si vous payez pour le décryptage, « l’honneur » des criminels exige qu’ils remettent également la clé ; seul « honneur » n’est vraiment pas le bon mot ici. Donner la clé contre une rançon n’a rien à voir avec l’honneur. Il s’agit simplement de l’instinct commercial des criminels : si la rumeur circulait selon laquelle aucune clé n’est donnée malgré le paiement, cela nuirait aux affaires, c’est-à-dire au pur intérêt personnel et à l’absence d’« honneur ».
L'opinion selon laquelle les criminels ne se trompent pas est davantage due à un récit glorifié de Robin des Bois qu'à des faits : dans le cas ci-dessus, un criminel a tenté de tromper d'autres criminels. On ne peut qu’espérer qu’il n’y ait pas encore d’acheteurs. Et ce n'est pas parce qu'il est interdit aux acheteurs de recourir à la justice officielle qu'il n'y a pas de conséquences à craindre. Dans le passé, des actions similaires ont conduit à des résultats très peu recommandables. Le « Doxing » (la dénonciation virtuelle du fraudeur en piratant le compte de messagerie, en publiant la véritable adresse, en persoscans, en publiant des références, etc.) n’est qu’un début. Les informations sur le Doxing sont ce que vous voyez dans les forums. Vous ne voyez pas ce qu'un criminel potentiellement trompé fait avec ces informations dans le monde réel... peut-être heureusement.
Connaissez-vous vos données ?
L’aspect le plus intéressant du point de vue de la défense est peut-être la réaction d’Europcar. Europcar a rapidement et très clairement fait comprendre que les données n'étaient pas réelles. Mais l'incident montre également que les criminels produisent effectivement de fausses données, que ce soit pour les vendre (comme dans ce cas) ou pour faire chanter des victimes potentielles. Et c’est exactement là que les choses deviennent passionnantes. Imaginez qu'une entreprise reçoive (par exemple après un incident de ransomware) un autre message de chantage du type « Nous avons vos données ! Ci-joint un exemple. Si vous ne voulez pas que cela soit publié… ».
Et maintenant la question cruciale : l’entreprise est-elle en mesure de vérifier (en temps opportun) si les données sont réelles ou non ? Plus le processus de prise de décision est long, plus la direction peut devenir nerveuse. Et cette nervosité peut augmenter la probabilité que le paiement soit effectué – tout comme une solution de sécurité.
Cela conduit à deux conclusions importantes pour la défense. Premièrement, ce scénario de chantage avec des données (prétendument) volées doit être inclus dans l’évaluation des risques. Deuxièmement, des mesures de réduction des risques ou des mesures de vérification (processus, droits d'accès, personnes) doivent également être définies à l'avance. Sinon, il peut arriver très rapidement que, par exemple, l'équipe de réponse aux incidents désignée ne puisse pas vérifier les données assez rapidement parce que, par exemple, les bases de données ne sont pas techniquement accessibles. Un autre aspect, notamment en matière de données personnelles, est certainement le RGPD. Dans un tel cas, comment vérifier les données personnelles sans enfreindre le RGPD ?
Ces deux éléments peuvent être définis relativement facilement *à l'avance* : en cas d'urgence, le processus correspondant peut alors être exécuté de manière ordonnée. Si le processus n'est pas défini, un grand chaos et une grande panique éclatent souvent, avec pour conséquence que la déclaration quant à savoir si les données font l'objet d'un chantage ne peut pas être faite en temps opportun. Cela augmente à son tour la probabilité que les maîtres chanteurs paient.
Deux conseils
1) Préparez-vous à subir un chantage avec des données (prétendument) volées.
2) Définir à l'avance les processus avec lesquels les intervenants en cas d'incident peuvent accéder rapidement (techniquement) et légalement aux données (lecture) en cas d'incident afin de vérifier l'authenticité d'un dump.
À propos de Trend Micro En tant que l'un des principaux fournisseurs mondiaux de sécurité informatique, Trend Micro aide à créer un monde sécurisé pour l'échange de données numériques. Avec plus de 30 ans d'expertise en matière de sécurité, de recherche sur les menaces mondiales et d'innovation constante, Trend Micro offre une protection aux entreprises, aux agences gouvernementales et aux consommateurs. Grâce à notre stratégie de sécurité XGen™, nos solutions bénéficient d'une combinaison intergénérationnelle de techniques de défense optimisées pour les environnements de pointe. Les informations sur les menaces en réseau permettent une protection meilleure et plus rapide. Optimisées pour les charges de travail cloud, les terminaux, les e-mails, l'IIoT et les réseaux, nos solutions connectées offrent une visibilité centralisée sur l'ensemble de l'entreprise pour une détection et une réponse plus rapides aux menaces.
Articles liés au sujet