Piratage Banque Populaire, Caisse d'Épargne et MAIF : les données de clients ont été dérobées

Piratage Banque Populaire, Caisse d'Épargne et MAIF : les données de clients ont été dérobées

La Banque Populaire, la Caisse d'Épargne et la MAIF alertent leurs clients sur une fuite de données faisant suite un piratage. Des compagnes de phishing et des tentatives usurpation d'identité sont à craindre.

La vague de piratage continue de déferler sur les organismes et les entreprises françaises, et elle ne semble pas vouloir s'arrêter ! Chaque semaine, nous apprenons une nouvelle fuite de données. En février dernier, la société française Harvest, qui fournit des solutions logicielles à près de 80 % des conseillers en gestion de patrimoine et des banques privées françaises, a été victime d'un ransomware. Par mesure de sécurité, elle avait décidé de bloquer l'accès à tous ses produits, pénalisant temporairement tous ses clients et paralysant totalement le monde de la finance française.

Mais nous commençons seulement à voir les conséquences de cette cyberattaque. Comme le rapporte Le Parisien, il se trouve que les données de certains des clients d'Harvest ont été compromises. En effet, la MAIF et le groupe Banque populaire-Caisse d'Épargne (BPCE) ont été touchés par une fuite de données. Les pirates sont passés par l'un des logiciels d'Harvest pour exfiltrer des informations sur les clients. Ces derniers se retrouvent fortement exposés à des risques accrus de campagnes d'hameçonnage (phishing) ciblé et d'usurpation d'identité.

Piratage Harvest : les données de banques et d'assurance compromises

La MAIF et la BPCE ont récemment prévenu toutes les personnes touchées. Du côté de la MAIF, les données d'"une partie des clients et prospects de MAIF Solutions Financières", une filiale du groupe, ont été dérobées. Il s'agit de leur état civil et de leur situation matrimoniale et professionnelle. En  revanche, les mots de passe, les pièces d'identité et les RIB n'ont pas été compromis. Quant au groupe BPCE, seules les informations relatives à un petit groupe de clients ont été compromises, à savoir leur identité, l'identifiant unique des comptes-titres et le montant total des actifs détenus sur ces comptes. 

Suite aux fuites de données, les victimes sont susceptibles d'être la cible de phishing et d'usurpation d'identité. En se servant des informations dérobées, les pirates peuvent en effet concevoir des arnaques convaincantes et personnalisées. Il peut, par exemple, s'agir d'un mail usurpant l'identité de leur banque tout à fait crédible, ou d'une bonne vieille arnaque au faux conseiller bancaire. Les escrocs pourraient même se servir de cette cyberattaque pour justifier des échanges d'informations bancaires au téléphone ou par mail

"Les données patrimoniales sont parmi les plus problématiques, car elles donnent énormément de crédit à celui qui les utilise", explique Benoît Grunemwald, expert en cybersécurité chez ESET. "Quand elles sont Ajoutées aux informations d'État civil, elle permet aux criminels de nous faire croire qu'il en sait suffisamment sur nous pour être légitime." 

Aussi, il est important d'éviter de partager toute information personnelle (téléphone, e-mail, pièces d'identité, RIB, IBAN, justificatifs de domicile…) par SMS ou par appel vocal, surtout lorsque l'identité de l'interlocuteur n'a pas été vérifiée. Même si l'interlocuteur fournit des informations personnelles pour prouver qui il est, il faut vérifier la légitimité de la demande de façon indépendante en appelant le numéro de téléphone public et officiel pour joindre l'organisation ou l'entreprise en question, ou en se rendant directement sur son site ou son application officiel, sans cliquer sur le lien.

Romain Quinat, expert en cybersécurité chez Nomios, a quelques astuces pour cela : "Si vous êtes démarché pour des informations très sensibles comme celles de la banque ou de l'assurance maladie, n'hésitez pas à poser des questions à votre interlocuteur. Par exemple, demandez quel est votre solde ou quel a été votre dernier remboursement. Si c'est eux qui vous posent ces questions, répondez avec des informations incorrectes. Votre véritable conseiller a accès à vos données et pourra corriger ces erreurs, prouvant ainsi que vous êtes bien en face du bon interlocuteur." On n'est jamais trop prudent !