En février 2023, l’établissement financier Vivus a subi une cyberattaque de grande envergure, compromettant les données personnelles de milliers de clients. Cet incident a mis en lumière les graves lacunes en matière de sécurité et a entraîné une série de fraudes et a abouti à une sanction de l’autorité de contrôle. Découvrez comment cette attaque s’est déroulée, ses conséquences, et la réaction des autorités.

Contexte et description de la cyberattaque

Entre le 3 et le 23 février 2023, l’Agence Espagnole de Protection des Données (AEPD) a reçu plusieurs plaintes de la part de clients de l’établissement financier 4Finance Spain Financial Services, dénommé « Vivus ». Ces plaintes concernaient des prêts non sollicités attribués à leurs comptes. Ce n’est que le 14 février 2023 que Vivus a déclaré avoir pris conscience d’une violation de données affectant les informations personnelles de ses clients et employés. Cette violation a touché 9636 personnes et a entraîné des conséquences graves tant pour les victimes que pour Vivus. La violation a été le résultat d’une attaque par force brute, qui a testé différentes combinaisons de numéros d’identité nationale et d’adresses email avec des mots de passe. 

Cet article pourrait également vous intéresser : Violation de données chez le Slip français : de l’importance de la protection des données personnelles pour les TPE/PME.

Les données concernées 

Cette vaste cyber-attaque a compromis les données de nombreuses victimes. Parmi les données concernées, on retrouve notamment  :

– Noms

– Dates de naissance

– Numéros d’identification nationale

– Numéros d’identité des étrangers

– Numéros de passeport ou d’autres documents d’identification

– Données de paiement (banques et cartes)

– Informations de contact

Conséquences directes 

L’établissement permettait à ses clients ayant déjà contracté un prêt de demander un nouveau prêt en ligne en entrant simplement leur identifiant et leur mot de passe. Si les conditions étaient remplies, le prêt était automatiquement approuvé et versé.

Une fois les comptes clients compromis, les attaquants ont souscrit des prêts au nom des victimes, que Vivus a ensuite validés et crédités sur les comptes clients directement, sans double vérification. 

Les hackers ont ensuite contacté les victimes via WhatsApp, se faisant passer pour Vivus, et leur ont demandé de rembourser les montants prêtés sur un compte contrôlé par les attaquants. 139 victimes ont été directement touchées par cette fraude.

Réaction de l’autorité de contrôle

Notification de la Violation

Vivus a notifié l’AEPD de la violation le 17 février 2023. Cependant, il a estimé que la violation ne présentait pas un risque élevé pour les droits et libertés des personnes concernées et n’a donc pas informé directement les victimes de la violation.

Cette notification tardive est particulièrement grave, car Vivus avait été informé par un client d’une première violation dès le 11 août 2022, mais n’a pris des mesures sérieuses qu’après plusieurs mois.

Enquête et sanction de l’AEPD

Le 11 avril 2023, l’AEPD a lancé une enquête contre Vivus et a ordonné à ce dernier de communiquer la violation aux personnes concernées, ce qui a été fait le jour même. Suite à l’enquête, l’AEPD a sanctionné Vivus pour manquement à ses obligations de sécurité des données avec une amende de 400 000 euros, réduite à 360 000 euros en raison d’un paiement volontaire immédiat. Les sanctions se fondent sur les articles 5(1)(f) et 32 du RGPD, qui obligent les entreprises à protéger adéquatement les données personnelles et à prendre des mesures de sécurité appropriées.

Cet article pourrait également vous intéresser : La montée en puissance des cyberattaques : tout le monde est concerné.

Mesures Correctives et Préventives

En réponse à la violation, Vivus a mis en œuvre plusieurs mesures pour renforcer la sécurité de ses systèmes et prévenir de futures violations :

– Enregistrement de la violation dans le registre des incidents.

– Dépôt d’un rapport de police.

– Envoi d’une communication aux clients précisant que Vivus ne communique pas via WhatsApp.

– Réinitialisation de certains mots de passe utilisateurs.

– Modification de la politique de mots de passe pour exiger plus de complexité.

– Mise en œuvre de l’authentification à deux facteurs (2FA) le 21 février 2023.

– Amélioration des procédures de détection d’incidents.

Cependant, ces mesures réactives ne peuvent pas compenser l’absence de mesures proactives, ce qui a permis à cette violation de se produire et de se prolonger. L’incapacité de Vivus à agir rapidement après avoir été informé de la première violation en août 2022 montre une négligence grave en matière de protection des données.

Conclusion

Cet incident met en lumière les défis et les risques associés à la sécurité des données dans le secteur financier. La gravité de cette violation réside non seulement dans l’ampleur des données compromises, mais aussi dans la réponse inadéquate de Vivus. L’entreprise a non seulement été sanctionnée financièrement, mais a également entamé sa réputation et la confiance de ses clients. 

La réponse tardive et la sous-estimation initiale des risques posent de sérieuses questions sur l’engagement de Vivus à protéger les informations personnelles de ses clients. La mise en œuvre de mesures réactives, bien qu’essentielles, ne remplace pas l’importance de la prévention proactive pour éviter de tels incidents à l’avenir. 

L’AEPD a rappelé l’importance cruciale de la protection des données personnelles et des mesures de sécurité robustes, soulignant que la négligence en matière de sécurité des données peut avoir des conséquences sévères tant pour les entreprises que pour les individus affectés.