Faut arrêter avec l’open data !
Après les États-Unis la semaine dernière, Avis informe ses clients français d’une fuite de données les concernant. En plus des informations personnelles « traditionnelles » on retrouve des données bancaires avec le « numéro de carte de crédit et/ou date d’expiration ».
La semaine dernière, plusieurs entreprises ont annoncé à tour de rôle avoir été victime d’une cyberattaque ayant entraîné le vol de de données personnelles : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill ainsi que Assurance Retraite. Plusieurs mettent en cause un prestataire externe, mais sans en donner le nom.
Truffaut se « démarque » car l’entreprise ne détaille pas les données personnelles concernées et refuse de nous préciser combien de clients sont concernés.
Un accès non autorisé entre les 3 et 6 août 2024
Voilà qu’une autre entreprise vient se joindre à la fête : Avis. Dans un email envoyé ce week-end à certains clients (dont nous avons eu une copie), le loueur de voiture explique avoir « découvert le 5 août 2024 (heure de l’Est) qu’un tiers non autorisé avait accédé à l’une de nos applications professionnelles […] Sur la base de notre enquête, nous avons déterminé que l’accès non autorisé a eu lieu entre le 3 août 2024 et le 6 août 2024 (heure de l’Est) ». L’accès non autorisé a évidemment été coupé.
Avis détaille l’étendue des dégâts : « Nous avons constaté le 14 août 2024 que le tiers non autorisé avait obtenu vos données à caractère personnel, à savoir votre nom et votre Adresse postale, Numéro de téléphone, et Numéro de carte de crédit et/ou date d’expiration ».
Le code CVV ne fait visiblement pas partie de la fuite, une « bonne » nouvelle. Mais comme toujours, soyez prudent et vérifiez vos relevés de compte. Dans les précédentes fuites, les données bancaires n’étaient pas de la partie, sauf chez DiviaMobilités avec l’IBAN.
Avis « offre » un an d’accès à l’outil Equifax WebDefend
Avis annonce dans son email que le client peut s’inscrire « au service de surveillance de l’identité que nous vous proposons, à savoir un abonnement gratuit d’un an à Equifax WebDefend ». Il faut s’inscrire avant le 31 décembre 2024 pour bénéficier de ce service, via un « code promotionnel unique » donné dans l’email (en annexe, en dessous du message principal).
Cet outil propose deux approches : « L’analyse Internet Equifax WebDetect vous avertit si vos informations se trouvent sur des sites Web utilisés par des fraudeurs » et « Social Scan recherche les sites de réseaux sociaux et signale les risques de fraude liés aux informations que vous pourriez partager ».
300 000 clients aux États-Unis
La fuite d’Avis date donc du mois d’août, mais la société avait déjà prévenu ses clients et les autorités aux États-Unis. On trouve d’ailleurs un bulletin d’alerte sur le site du procureur général de Californie et celui du Maine depuis le début du mois. Il est question d’une fuite sur 299 006 clients.
Nous avons contacté Avis pour savoir pourquoi il y avait une telle latence entre les clients aux États-Unis et ceux en France ? En effet, un des clients d’Avis ayant reçu l’email nous confirme avoir « été client en France uniquement ». Nous avons également demandé combien de personnes en France étaient concernées.
Pour rappel, une société américaine – Slim CD, une plateforme de paiement en ligne – a également été victime d’une fuite de données, là encore avec nom, adresse de clients mais aussi numéro de carte de crédit et date d’expiration. Les deux vols ne sont a priori pas liés puisque dans le cas de Slim CD les pirates ont pu consulter et obtenir les informations entre le 14 et le 15 juin 2024.