Nous venons d’apprendre que la faille de données dont a été victime la multinationale Dixons Carphone avait touché 10 fois plus de clients qu’initialement estimé. La faille avait été révélée le 13 juin dernier par Dixons. A ce moment-là, la multinationale annonçait 1,2 million de clients impactés. Après une investigation plus poussée, Dixons révèle aujourd’hui que 10 millions de clients auraient été exposés. Cette ré-estimation après plus d’un mois soulève des questions mais également un paradoxe :
Comment est-il possible que les personnes en charge de l’investigation n’aient pas identifier que le pirate informatique avait mis la main sur autant de données ? Ils auraient réussi à détecter une faille d’un million de données, mais auraient manqué les 9 millions de données dérobées restantes ? Cela a de quoi laisser perplexe. Il faudra peut-être un certain temps avant que nous ayons le fin mot de l’histoire, car les détails révélés restent sommaires, mais dans le contexte actuel du RGPD et de son exigence d’hyper-vigilance et vérification en matière de protection des données personnelles, il va falloir se demander comment un tel loupé a pu avoir eu lieu…
Le paradoxe ici est que Dixons a déclaré que les informations de la plupart des cartes de crédit, qui ont été volées, étaient protégées par la stratégie de sécurité « Pin & Chip » par un numéro personnel d’identification (PIN). Dans le monde de la cybersécurité, nous parlons d’authentification multifactorielle, c’est à dire que l’utilisateur doit connaître une information (un mot de passe ou un code PIN par exemple) et posséder quelque chose (un téléphone portable, une carte de crédit, etc.). La mise en place de cette sécurité, qui est la norme en France mais pas au Royaume-Uni, est une très bonne chose.
Nous pouvons toutefois légitimement nous demander si cette règle d’authentification multifactorielle était également la norme au sein de l’entreprise Dixons, et si les administrateurs par exemple y étaient soumis… C’est une chose de mettre en place des mesures de sécurité fortes pour ses clients, mais si elles ne sont pas mises en place pour ses propres salariés et responsables informatiques, cela résulte malheureusement en ce type de failles !
Encore une fois, seul le temps nous dira quelles nouvelles mesures de sécurité seront mises en place par Dixons pour prévenir de nouvelles failles. Mais cela est tout de même très frustrant de constater qu’il faille ce genre d’incidents pour inciter les organisations à investir et à mettre en place les bonnes mesures
