Perte des données bancaires de 60 000 comptes envoyées par email !
L’une des quatre plus grandes banques australiennes a été confrontée à un problème persistant causé par un email égaré.
Selon un rapport publié fin de semaine dernière, le problème a tout d’abord commencé avec le champs CC qui n’était pas censé être rempli, ayant comme conséquence l’envoi d’un email à un destinataire, hors de la banque, qui n’était pas sensé le recevoir.
Bien sûr, le champ CC est l’acronyme de l’antique Copie Carbone, à l’époque où l’on disposait une feuille de carbone entre deux autres feuilles de papier, pour permette d’écrire sur les 2 supports en même temps.
On pouvait effectuer même 3 copies, et même plus, avec une structure encore plus épaisse alternant papier et feuille de carbone, mais une machine à écrire avait tout de même une limite mécanique qui faisait que la dernière feuille devenait très difficile à lire, du fait de la faible intensité, ou bien dérapait et devenait alors floue.
Le problème avec le champ CC, dans les emails modernes, est que tout le monde dans la liste établie aura une copie des adresses emails de tous les autres destinataires, ce qui s’avère ne pas être une si bonne chose, en particulier s’il s’agit d’un email récurrent envoyé à de nombreux clients, qui ne sont pas supposés connaitre précisément leurs identités respectives.
Ce genre de gaffe est arrivé à un service de l’état Néo-zélandais en 2013, lorsque le ministère de l’environnement a mis en copie une liste de gens qui aurait dû apparaitre en copie cachée (CCi) (CCi signifie Copie Carbone Invisible, à savoir que tout le monde reçoit le message sans avoir accès à liste des autres destinataires).
Le ministre avait provoqué l’hilarité générale en s’excusant, dans un email, pour avoir utilisé le champ CC au lieu du champ CCi, et ce en utilisant une nouvelle fois CC au lieu de CCi !
Les premières excuses ont ensuite été suivies d’excuses Monty Pythonesques pour expliquer les excuses précédentes !
Dans notre cas présent, la Banque Nationale d’Australie(NAB) avait mis en copie, apparemment, une seule personne, s’agissant donc d’un autre type d’erreur : à savoir que l’expéditeur s’est trompé de destinataire.
L’ironie ici, autant que nous pouvons le dire à partir des informations rendues publiques, est que l’expéditeur a fait une erreur minime, et on peut imaginer pouvoir commettre la même dans des circonstances similaires.
En effet, l’Australie, comme beaucoup d’autres pays, ne vous permettra jamais d’utiliser le nom de domaine sophos.au
, mais plutôt sophos.com.au
.
Malheureusement pour la NAB, le problème semble venir du fait que la compagnie possède bien nab.com.au
, mais pas nab.com
. Ainsi, selon nos informations, une pièce jointe avec des données bancaires relatives à 60 000 comptes ont été envoyées à prenom.nom@nab.com
, au lieu de prenom.nom@nab.com.au
.
Le serveur de messagerie relatif à nab.com
est désigné comme étant Google, certainement parce que le nom de domaine est enregistré au niveau de Gmail. Cependant Google ne pourra être d’aucune utilité pour pister les destinataires dans des cas comme celui-ci, à moins d’en recevoir l’ordre via une décision de justice.
Apparemment, la NAB a passé toute la période des fêtes à essayer d’obtenir de Google des informations sur ce qui avait pu arriver aux données bancaires sensibles, mais sans succès.
Un rapport, mis à jour dernièrement sur ce cas, laisse entendre que la NAB traite maintenant directement avec le propriétaire de nab.com
, mais à en juger par l’état du site nab.com
, il ne semble pas que ce nom de domaine soit particulièrement actif en ce moment. Ainsi, il semble qu’aucune aide ne viendra de ce côté, pour permettre de retrouver les données bancaires perdues, si du reste, elles étaient parvenues dans les mains de quelqu’un !
Au final, le résultat semble être le suivant :
- L’email a été accepté par le service de messagerie de Google, ainsi d’une certaine manière il a été délivré.
- L’email n’a pas réussi à atteindre un utilisateur en particulier, ainsi on peut considérer qu’il n’a pas été formellement reçu.
Pour résumer, il est fort probable qu’au final aucun dommage n’ait été causé, car l’email, et les données bancaires qu’il renfermait, ne réapparaîtront jamais, mais il est tout de même impossible d’en être complètement sûr !
En fait, c’est justement le dilemme qui persiste après chaque faille de sécurité : votre tête cherche à vous persuader que tout va bien à présent, mais vous ne pouvez pas garantir à 100% à vos clients (ou à la commission en charge de la protection de la vie privée) que cela restera effectivement ainsi.
Quoi faire ?
Envoyer des emails à la mauvaise personne est incroyablement facile à faire par erreur : si un nom de domaine ou d’utilisateur, très proche mais incorrect, n’a pas réussi à vous duper, la saisie automatique active au niveau de la plupart des services de messagerie, peut quant à elle vous jouer des tours !
Voici quelques conseils pour minimiser les risques encourus au niveau de votre entreprise :
- Utilisez un système automatique de chiffrement des fichiers, afin de conserver vos données internes en sécurité vis à vis de l’extérieur, et ce même si elles devaient être copiées ou envoyées par email.
Par exemple, Sophos Safeguard peut être configuré pour chiffrer automatiquement des données professionnelles que vous avez sauvegardées, mais sans les déchiffrer automatiquement lorsque vous les enverrez par email. Ainsi, si vous étiez amenés à envoyer un email interne vers l’extérieur, n’importe quel destinataire externe recevra la pièce jointe qui sera en fait totalement inutilisable.
- Utilisez un filtrage d’emails en sortie, afin de bloquer les emails mal orthographiés.
Il est difficile de prédire à l’avance les erreurs susceptibles d’être le plus fréquemment commises par vos utilisateurs. Cependant avec l’expérience vous serez probablement capables de dresser une liste des erreurs les plus rencontrées. Le typosquatting, où des organisations sans scrupule essaient délibérément de profiter de toutes ces erreurs, est plutôt très répandu.
- Pensez à utiliser une solution DLP (Data Loss Prevention), afin d’identifier le contenu qui ne doit pas quitter l’entreprise.
Par exemple, le système DLP Sophos peut analyser le contenu des emails et des pièces jointes pour alerter (ou empêcher) que les utilisateurs n’envoient les bonnes données au mauvais endroit, ou bien les mauvaises données au bon endroit.
- Créer une culture qui décourage le partage de bases de données en masse par emails.
N’utilisez pas les pièces jointes des emails pour partager des données internes, mails plutôt pour expliquer comment accéder aux données en utilisant le serveur interne de l’entreprise, tel que le CMS (Content Management System). Les administrateurs gérant votre messagerie électronique vous remercieront pour l’effort de réduction de la taille de vos archives d’emails dont ils doivent de leur côté assurer la maintenance. Les auditeurs vous remercieront car ils n’auront plus à se soucier des copies de bases de données incontrôlables, réparties çà et là, et qui finiront par être perdues.
Rappelez-vous : en cas de doutes, n’envoyez rien !
Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez Perte des données bancaires de 60 000 comptes envoyées par email ! : http://wp.me/p2YJS1-39w
Billet inspiré de Bank leaks 60,000 account details in three character email slip-up, par Paul Ducklin, Sophos NakedSecurity.