DE | FR
image: shutterstock

Vous vous êtes fait pirater vos données? Voici comment vous en sortir

Suite au piratage de la commune de Rolle (VD), deux experts, l'un ingénieur, l'autre avocat, fournissent à watson leurs bons conseils pour limiter au maximum les risques de hacking et pour agir au niveau légal dans le cas où vous seriez victime.
26.08.2021, 06:0426.08.2021, 16:26

Comme l'a révélé watson, l'administration communale de Rolle, dans le canton de Vaud, a été victime au mois de juin d'une attaque de pirates informatiques (des hackers). Selon le quotidien Le Temps, les données de plus de 5000 habitants ont été mises en ligne sur le darknet, un réseau parallèle où atterrissent notamment des informations volées. Nous avons demandé à deux spécialistes des nouvelles technologies: 1) comment se prémunir au mieux contre de telles attaques; 2) comment y réponde légalement.

Techniquement, comment éviter la catastrophe?

Paul Such a pour habitude de dire: «La question n'est pas de savoir si vous allez vous faire pirater vos données, mais quand cela va arriver.» Directeur-fondateur d'Hacknowledge, société vaudoise spécialisée en cybersécurité, Paul Such nous dit en gros que cela ne sert à rien de pleurer sur le lait renversé. Que ce qui importe c'est de tout faire pour éviter qu'il ne se renverse. «La sécurité, dit-il, ça s'anticipe.» Il s'agit de ne pas faciliter le boulot des hackers. Oui, mais comment faire? Comme ça (entre autres):

Mesures techniques

  • Changer de mot de passe pour vos différentes connexions: banque, assurances, commerces en ligne, club de sport, réservations de voyages, sites coquins, etc. Cette diversification des mots de passe vous permet de limiter les risques: a) si d'aventure vous vous faites hacker personnellement; b) dans le cas où une institution disposant légalement d'une partie de vos données (l'administration communale à Rolle) est victime de piratage: les hackers ne pourront en principe pas obtenir plus de données vous concernant que celles en possession de l'entité en question.
  • Créer des adresses e-mail «poubelles» (qui ne serviront qu'une fois). Cette étape vous permet de recevoir un e-mail confirmant votre inscription à un site. Par exemple un site de cuisine comme marmiton.com. Une fois inscrit, vous pourrez directement vous connecter via votre identifiant et votre mot de passe.

Mesures organisationnelles

  • On touche ici à la politique de sécurité des entreprises, publiques ou privées. Il faut convenir de ce que peuvent faire les employés avec le réseau auquel ils ont accès au sein de leur boîte. Là encore, le maître-mot est: limiter les risques. Paul Such plaide pour l'engagement, en tout cas la consultation, par les entreprises, de spécialiste en cybersécurité. C'est là une des missions de sa société, Hacknowledge.
  • Paul Such recommande aux entreprises comme aux particuliers d'effectuer régulièrement des sauvegardes de leurs données. En effet, avec le hackers, le danger n'est pas seulement de se faire pirater ses petits et grands secrets, c'est de les perdre à jamais.

Légalement, quels sont vos droits?

watson a posé des questions à Nicolas Capt, avocat spécialisé dans les nouvelles technologies.

  • De quels instruments légaux dispose un citoyen dont les données se retrouvent sur le darknet suite à un hacking?
    Le Code pénal suisse contient un catalogue d’infractions informatiques dont, notamment, la soustraction de données et l’accès indu à un système informatique, de sorte qu’une enquête pénale pourrait être ouverte de ce chef. Sur le plan civil, cet incident pourrait aussi constituer une forme d’atteinte à la personnalité au sens de l’art. 28 du Code civil. Quant au possible usage malveillant ultérieur des données subtilisées, il sied de rappeler que l’usurpation d’identité, à savoir l’usage abusif de l’identité d’une tierce personne, n’est à ce jour pas réprimée par le Code pénal suisse. Elle le sera toutefois lors de l’entrée en vigueur de la nouvelle loi fédérale sur la protection des données. Pour l’heure, l’usurpation d’identité n’est punie qu’indirectement, soit à l’occasion d’autres infractions commises concomitamment (par exemple une escroquerie).
  • Un citoyen lésé peut-il demander des dommages et intérêts à l'administration hackée? Aux hackeurs eux-mêmes?
    Les entités, privés ou publiques, qui détiennent des données personnelles sont responsables de leur protection. C’est l’esprit des lois de protection des données, que ce soit celle applicable aux organes fédéraux et aux entités privées (la LPD) ou celles, cantonales, applicables aux entités publiques comme les communes.
    De façon générale, le principe est que les données personnelles doivent être protégées contre tout traitement non auto­risé par des mesures organisationnelles et techniques appropriées. Cela étant, la commune pourrait sans doute se défendre en démontrant, le cas échéant, sa diligence par le biais des mesures organisationnelles et techniques en place, pour peu qu’elles puissent être considérées comme suffisantes.
    Avant de tirer à boulets rouges sur la commune, il faut aussi se rappeler que la sécurité informatique n'est pas absolue et qu’elle procède, à l’instar de la course à l’armement, d’une sorte de mise en conformité dynamique complexe. Dans ce genre de cas, le bât blesse souvent dans la communication de crise. Il y a une certaine tendance à relativiser la portée de l’incident. Or elle a souvent l’effet contraire.
    Dans un tel cas, la double question des dommages et intérêts (qui nécessitent que soit prouvé un dommage économique et son lien de causalité avec l’incident) et du tort moral m’apparait assez illusoire. L’urgence est à mon sens de rétablir la situation, de communiquer correctement et de prendre toutes les mesures nécessaires.
  • Un citoyen peut-il demander à ce que ses données transmises à une administration ou toute autre entité soient cryptées, anonymisées?
    L’anonymisation des données n’a de sens que si le but du traitement le permet. Or une commune a précisément besoin de données personnelles individualisées pour effectuer les traitements nécessaires.
«En revanche, s’agissant des données dites sensibles (par exemple celles sur l’état de santé ou des condamnations judiciaires), il siérait à mon sens qu’elles soient chiffrées»
Nicolas Capt

Et maintenant, un peu de détente avec le bêtisier des Bouffistas

Plus d'articles Actu

Ces cinq artistes vont marquer l'histoire du prochain Super Bowl

Link zum Artikel

Crise des sous-marins: La France utilise l'UE pour se venger

Link zum Artikel

Comment est votre blanquette? Has-been! (Auprès des jeunes)

Link zum Artikel

Les Etats-Unis échappent à la paralysie, mais pas encore à une crise financière

Link zum Artikel

Un artiste s'enfuit avec l'argent prêté par un musée

Link zum Artikel

Ils lancent un jeu de société qui dénonce les inégalités raciales

Link zum Artikel
Montrer tous les articles

Los Angeles va annuler 60 000 condamnations liées à la weed

Cette décision va offrir un meilleur avenir pour des milliers de personnes, car elle facilitera la recherche d'un emploi ou d'un logement aux ex-condamnés.

Les procureurs de Los Angeles vont demander le rejet de près de 60 000 condamnations liées à de la marijuana, environ cinq ans après que les électeurs californiens ont approuvé le cannabis à usage récréatif.

Un système informatique a identifié environ 58 000 affaires susceptibles d'être annulées, a déclaré George Gascón, procureur du comté de Los Angeles. Certaines condamnations remontent à plus de trois décennies.

L'Etat de New York a déjà commencé à expurger automatiquement les casiers …

Lire l’article
Link zum Artikel