Le TO Voyageurs du Monde a révélé dans un communiqué de presse une « information réglementaire » : le groupe a subi une cyberattaque dans la nuit du 15 au 16 mai. Le site Zone Bourse avait aussi précisé: “L’attaque est circonscrite et nous avons coupé les accès internet afin de permettre aux équipes de travailler à l’analyse de la situation en vue d’une reprise progressive de l’activité envisagée à partir du début de la semaine prochaine avec l’utilisation de nos back-up”. Tout allait bien, mais …
Le MagIT enfonce le clou !
“Ce mardi 6 juin, le PDG de Voyageurs de Monde, Jean-François Rial, s’exprimait sur la cyberattaque au micro de Franceinfo. Loin de revenir sur la communication initiale de son entreprise, il apparaît continuer de minimiser l’incident et sa portée, pour ses clients’.
Un risque d’usurpation d’identité ignoré
Le MagIT poursuit : “Pour lui, les cybercriminels « font les malins pour pas grand-chose », en revendiquant le vol et la divulgation des copies numériques de près de 10 000 passeports. Parce que selon Jean-François Rial, « il n’y a aucune donnée biométrique, ce qui serait vraiment le seul truc intéressant pour ces passeports ». Et d’assurer même que « les policiers et gendarmes “disent que ça ne sert à rien” de porter plainte, car répète-t-il, “sans données biométriques, ça ne sert pas à grand-chose” ».
Alors, indique le PDG du voyagiste, « franchement, on n’est pas inquiet ». Car, indique-t-il à nos confrères, « on aurait été inquiet si on n’avait pas réussi à rétablir notre système. Visiblement, ce n’est pas le cas puisqu’on refonctionne correctement depuis deux semaines ».
Ses clients apprécieront sans doute que Jean-François Rial n’entrevoit pas le moindre risque d’usurpation d’identité et, dès lors, ne s’en soucie pas. À se demander pourquoi Voyageurs du Monde n’a pas, tant qu’à faire, et puisque ces données personnelles sont sans valeur, stocké ses copies de passeports et autres documents volés par un affidé LockBit 3.0 sur un bucket S3 accessible à tous, directement sur internet, sans authentification.
Et si l’attention est concentrée sur les passeports, quid des copies de cartes nationales d’identité ? Là, difficile de brandir les données biométriques pour balayer tout risque d’usurpation d’identité”
Quelle politique de gestion des données personnelles ?
“Mais il y a plus surprenant encore, s’il le fallait. À nos confrères de FranceInfo, Jean-François Rial a expliqué que les assaillants « ont réussi à nous prendre à peu près 1 % des photocopies de passeports. Cela concerne notre activité de groupes et de collectivités ». Ce qui suggère que Voyageurs du Monde a, en sa possession, les copies de… 1 million de passeports”.
Des clients mécontents
Si Jean-François Rial espérait rassurer ses clients avec les propos tenus auprès de nos confrères, il risque de ne pas être pleinement satisfait des résultats. Sur les réseaux sociaux, les réactions sont déjà parfois cinglantes, interpellant notamment sur le respect du RGPD.
L’experte Rayna Stamboliyska, autrice de La face cachée d’Internet, n’est pas tendre, parlant d’incurie et d’inconséquence.
Une enquête judiciaire est en cours.
