Le droit d’accès, également appelé accès aux données, est la partie de la réglementation RGPD qui permet aux individus de demander aux organisations une copie de toutes les données les concernant.
Cela est logique car, comme pour tout système de protection de la vie privée des utilisateurs, il doit exister un mécanisme juridiquement contraignant permettant aux utilisateurs de vérifier l’exactitude et la quantité des données personnelles détenues.
Malheureusement, dans le cadre de ce qui peut être décrit, de manière minimaliste, comme un énorme problème liés à la mise en œuvre initiale du RGPD, James Pavur, étudiant en doctorat à l’Université d’Oxford, a découvert que trop d’entreprises communiquaient des données personnelles à la demande, sans vérifier pour autant qui les demandait réellement.
Dans sa session intitulée GDPArrrrr: Using Privacy Laws to Steal Identities à la conférence Black Hat, Pavur a expliqué comment il a testé la facilité d’utilisation des demandes de droit d’accès pour “voler” les données personnelles de sa fiancée (avec son autorisation, bien entendu !).
Après avoir contacté 150 entreprises britanniques et américaines, en se faisant passer pour elle, la réponse est que cela n’a pas été difficile du tout !
Selon les récits des journalistes ayant assisté à la session, les 75 premières contactées par courrier, auprès desquelles il ne se faisait passer pour elle qu’en fournissant des informations qu’il avait pu trouver en ligne : à savoir nom complet, adresse électronique, numéros de téléphone, ces dernières ont répondu en lui fournissant l’adresse du domicile.
Muni de ces informations supplémentaires, il a ensuite contacté 75 autres organisations par email, procédure à priori suffisante pour certaines qui ont renvoyé le numéro de sécurité sociale de sa fiancée, ses adresses précédentes, les réservations d’hôtel, ses notes scolaires, si elle avait utilisé des sites de rencontre en ligne, et même ses numéros de carte de crédit.
Pavur n’a même pas eu besoin de falsifier des documents d’identité ou des signatures pour appuyer ses demandes, ni d’imiter sa véritable adresse électronique pour que ses demandes paraissent plus authentiques.
La pensée latérale
Pavur n’a pas révélé quelles entreprises n’avaient pas authentifié ses fausses demandes de droit d’accès, mais il en a nommé trois : Tesco, Bed Bath and Beyond et American Airlines, qui ont bien réagi car elles ont contesté ses demandes après avoir repéré des données d’authentification manquantes.
Néanmoins, un quart a transmis les données de sa fiancée sans vérification d’identité, 16% ont demandé un type d’identification facile à contrefaire, qu’il a décidé de ne pas fournir, tandis que 39% ont demandé une identification forte.
Curieusement, 13% ont totalement ignoré ses demandes, signifiant ainsi qu’elles ne transmettent pas les données à volonté.
Le potentiel en matière de vol d’identité n’a pas besoin d’être rappelé ici, selon les notes de la session de Pavur :
Alors que trop souvent aucune preuve d’identité n’est requise, il faut avouer que même dans le meilleur des cas, le RGPD permet à une personne capable de voler ou de falsifier un permis de conduire d’obtenir un accès presque complet à votre vie numérique.
Le danger est que les cybercriminels ont peut-être déjà exploité cette faille sans que personne ne s’en aperçoive.
Comme Pavur l’a fait remarquer, l’automatisation des fausses demandes d’accès standardisées ne sera pas difficile à mettre en œuvre à grande échelle en utilisant le type de données basiques telles que les noms et emails que beaucoup de personnes rendent publiques sur les réseaux sociaux.
A qui la faute ?
Si les recherches de Pavur révèlent un véritable échec, c’est que trop d’entreprises ne comprennent toujours pas le RGPD.
Il ne suffit pas de sécuriser les données sur le plan technique si vous n’en sécurisez pas également l’accès. Si quelqu’un téléphone pour demander quelles données sont conservées, ne pas authentifier cette demande devient un possible contournement qui finit par mettre en danger la vie privée plutôt que de la protéger.
Même s’il est vrai que cela aurait pu se produire bien avant l’entrée en vigueur du RGPD, le fait de donner aux citoyens le droit légal de demander des données a offert aux personnes mal intentionnées un mécanisme normalisé pour tenter leur chance et jouer davantage avec le système.
Mais certains échecs sont plus problématiques ici : si les entreprises essaient de vérifier l’identité d’une personne, que devraient-elles demander ? RGPD ou non, il n’existe toujours pas de système de vérification d’identité universel et fiable permettant de s’assurer qu’une personne est bien celle qu’elle prétend être.
Billet inspiré de GDPR privacy can be defeated using right of access requests, sur Sophos nakedsecurity.