Les données personnelles en péril : Analyse des erreurs de Ticketmaster et de British Airways


Rédigé par Frédéric Valuet, MarkLogic le 15 Octobre 2018

Alors que l'affaire Ticketmaster a défrayé la chronique au début de l’été et que British Airways vient de déclarer une brèche massive, après nombre de grandes entreprises depuis le début de l’année, les sociétés grandes comme petites sont en proie à des difficultés importantes quant à la protection de la vie privée. Il y a plusieurs leçons à tirer des erreurs commises par Ticketmaster ou BA. Voici les principales qui méritent d’être soulignées.



Frédéric Valuet, Solutions Director de MarkLogic en EMEA
Avec l'entrée en vigueur de réglementation comme le RGPD, les entreprises ne peuvent plus se cacher quant à la perte des données personnelles de leurs utilisateurs. Et c'est exactement ce qui s'est passé fin juin pour le géant de la billetterie en ligne, Ticketmaster. Ce dernier a informé ses utilisateurs que leurs données personnelles avaient « peut-être » été compromises. Pour une entreprise de cette ampleur, c'est encore plus douloureux car une telle annonce est largement diffusée et relayée. La compagnie ne peut donc pas s’en tirer avec un simple mea culpa et la promesse de faire mieux la prochaine fois vis-à-vis des autorités chargées de la protection des données et de ses utilisateurs. Ticketmaster doit maintenant s’expliquer et déterminer si les mesures de sécurité étaient suffisantes. Mais avec les premiers détails qui ont fuité, une chose est maintenant sûre : la sécurité des infrastructures de Ticketmaster était insuffisante.

Se renvoyer la balle n'est pas une solution
Ticketmaster a déclaré la fuite de données quatre jours après sa découverte. A partir de là, la chasse aux sorcières a commencé. D'après les équipes du géant de la billetterie, la source du problème était un chatbot basé sur une intelligence artificielle et dédié à la relation client fournie par la société Inbenta. Cette dernière s'est quant à elle défaussée en assurant que la faille venait d'une ligne de code JavaScript rajoutée par les équipes de Ticketmaster sans qu'elle en ait été informée. Mais plutôt que de se renvoyer la balle, ces deux entreprises devraient se demander comment une application tierce a pu accéder à des informations personnelles non chiffrées directement dans les bases de données. Et d'autres entreprises feraient bien de se poser la question car RiskIQ a démontré que la technique utilisée contre Ticketmaster via les solutions Inbenta n'était qu'un élément d'une plus vaste campagne de piratage.
Sur la plupart des bases de données, la sécurisation des informations se fait en premier au niveau de la gestion des accès. Donc, si vous parvenez à accéder à celles-ci, vous pouvez passer n'importe quelle requête sans aucune restriction. Il existe évidemment des outils qui permettent d'apporter une sécurité étendue avec plus de granularité et de contrôle au détriment, cependant, de plus de complexité. Dans tous les cas, il ne peut normalement pas arriver qu'un produit front-end exhibe les données du back-end.

Il faut une sécurité au cœur des bases de données
Il est légitime d'espérer que le RGPD, par l'obligation qu’il impose de notifier les fuites de données, ouvre les yeux des entreprises et les pousse à aborder la sécurité d'une autre manière. Mais il paraît évident, au vu du problème d’accès abordé précédemment, que la solution est d'intégrer la sécurité et les restrictions au niveau élémentaire de l'infrastructure, c’est-à-dire au sein de la base de données elle-même Grâce à des bases qui le permettent.. Il est ainsi possible de masquer d'effacer et de masquer certaines données lors des échanges avec des systèmes internes comme externes. Il est aussi possible de masquer certaines informations au sein d'un document. Une autre fonctionnalité de ce type de base de données est la compartimentation de la sécurité. Elle permet de limiter au maximum l'accès aux données en obligeant les utilisateurs à posséder plus d'un rôle pour accéder à certaines données. Cela signifie qu'une seule clef ne donne pas accès à l’ensemble de la maison mais seulement à un certain nombre de pièces. Cette technique est notamment utilisée par les gouvernements pour sécuriser des ensembles d'informations sensibles ou confidentielles. Malheureusement pour Ticketmaster qui utilise une solution classique de base de données relationnelle open source dépourvue ce type de fonctionnalités, ce n’était pas le cas.

Vérifiez vos fournisseurs !
Ce n'est pas une surprise que la fuite de données de Ticketmaster soit liée à un logiciel issu d'un fournisseur extérieur. La plupart des failles de sécurité et des fuites de données viennent d'applications tierces. Quelques jours après la détection de la brèche, le géant de la billetterie a d’ailleurs annoncé avoir débranché le chatbot en cause sur l'ensemble de ses sites web. On peut se dire que cela devrait régler le problème, que sans cette application dangereuse, il n'y aura plus de fuite de données. Mais si l’on reprend l’analogie de la maison, lorsqu’une fissure massive apparaît sur un mur, peut-on simplement se contenter de la masquer derrière un peu de mortier en attendant la prochaine lézarde ? Ne faudrait-il pas plutôt se poser la question de la solidité et de la pérennité des fondations et de la structure de l’ensemble de l’édifice ?*

La sécurité périmétrique n’est plus suffisante
Le groupe de hackers responsable de l’attaque sur Ticketmaster, connu sous le nom de Magecart, a récidivé en attaquant cette fois le module de réservation en ligne du site web et de l’application de réservation de British Airways. Les noms, coordonnées postales, emails et données des cartes bancaires de plus de 300 000 clients de la compagnie aérienne ont ainsi été dérobés pendant près de deux semaines avant que les services informatiques ne détectent la fuite. Il semble que les pirates aient étudié de près la structure du site internet et particulièrement de la page de paiement où sont bien sûr renseignées les précieuses informations, et particulièrement le cryptogramme des cartes bancaires connu sous l’acronyme CVV. Le groupe de hackers a tiré parti du fait que les mêmes fonctionnalités sont utilisées tant sur le site web que dans l’application mobile. L’erreur principale est ici de considérer qu’une sécurité périmétrique des données est suffisante, c’est-à-dire que la fortification édifiée autour des pages web ou des serveurs est suffisamment résistant aux attaques pour ne pas avoir besoin de protéger les informations qu’ils ou elles contiennent. Or, une fois le mur d’enceinte réputé infranchissable est surpassé, les informations sont librement accessibles.

Les données doivent être protégées au repos comme dans les échanges
Il est donc certes primordial d’édifier des murs assez hauts pour se prémunir des accès délictueux, mais dans le même temps garantir la confidentialité des données à l’extérieur comme à l’intérieur des enceintes. C’est le rôle du chiffrement au repos, lorsque les données résident dans la zone de stockage, et lors de leur transport entre cette zone et une page web dans le service qui est consommé. Grâce à ce chiffrement des données à la source et dans les échanges, même si les protections n’ont pas su arrêter les attaquants, les informations dérobées sont inutilisables pour qui ne possède pas les méthodes de déchiffrement et n’ont donc aucune valeur. La protection des données personnelles doit donc se faire à tous les niveaux, mais particulièrement au niveau le plus bas, celui des données elles-mêmes. Pour reprendre l’analogie de la maison, une porte blindée peut être dissuasive, mais n’est pas impossible à crocheter. Par contre, si une fois à l’intérieur, tous les objets de valeur sont enfermés dans des coffres-forts individuels qu’il faut forcer un à un pour avoir une information, cela devient une gageure qui ne vaut sans doute pas le mal à se donner. Les pirates préfèreront alors se tourner vers une cible plus facile.

La leçon à tirer de ces attaques est donc qu’Il faut bien sûr surveiller tant les points d’entrée principaux que secondaires qui peuvent donner accès aux données, mais aussi protéger celles-ci intrinsèquement dès qu’elles sont confiées par les clients aux entreprises pour être manipulées et échangées dans des services en ligne.

A propos de Frédéric Valuet

Expert de l'assurance accompagnant les compagnies dans leurs transformations Métier, financière et numérique afin de révolutionner l'expérience client. Passionné de nouvelles technologies, il intervient régulièrement sur les sujets Internet des Objets, Digitalisation, Distribution Multi-canal, Lutte contre la Fraude, Big Data...



Dans la même rubrique :