Marché

Harvest : Axa, quatrième grande victime des fuites de données

Après la Maif, BPCE et Banque Palatine, la liste s’allonge. Les CGP dont les données clients ont été subtilisées sont à leur tour avertis progressivement, le processus devant s’étaler jusqu’au 4 avril. En parallèle, les logiciels font un à un leur retour, les derniers en date étant Big et Fidnet.

La liste définitive n’est pas encore arrêtée. Après la Maif, BPCE et Banque Palatine, c’est au tour d’Axa France de faire les frais du ransomware qui a frappé Harvest le 27 février.

Fuite circonscrite

La fuite de données est relativement circonscrite chez l’assureur puisque 20 clients de ses réseaux propriétaires sont impactés. Si l’assureur ne souhaite pas communiquer sur les éléments affectés, il certifie qu’« aucun mot de passe, identifiant ou donnée bancaire ne sont concernés ».

L’information a déjà été transmise à tous les distributeurs concernés, celle des clients finaux est encore en cours. Ils vont recevoir un courrier leur rappelant les mesures de vigilance renforcées à appliquer :
« - Rester attentifs aux messages (email, SMS, WhatsApp...) et aux appels téléphoniques qui sembleraient provenir de tout organisme bancaire ou d’assurance, en particulier s’il leur est demandé d’effectuer une transaction sur les contrats
- Adopter les bonnes pratiques en matière de sécurité (Cnil et Anssi) comme, par exemple, ne jamais réutiliser le même mot de passe sur des sites différents, de surveiller votre messagerie et de ne jamais cliquer sur des mails ou des liens hypertextes suspicieux »

Données personnelles en fuite

Concernant la BPCE, les données piratées concernent l’identité, les encours et les numéros de compte-titres des clients, comme l’a révélé l’Agefi. Les 14 Banque Populaires, les 15 Caisses d’Epargnes sont concernés.

La Banque Palatine, une autre filiale du groupe, a été affectée de façon semblable, ainsi que l’ont découvert nos confrères de Citywire. Cependant, aucune donnée à caractère confidentiel comme des codes d’accès ou des moyens de paiement n’a fuité.

L’Agefi avait également constaté une fuite de données en provenance de la Maif Solutions Financières. L’état civil des clients, leur situation matrimoniale, financière et professionnelle, leurs coordonnées ainsi que les numéros d’adhérents et de sociétaires sont concernés. Au risque de fishing se rajoute donc pour la mutuelle celui de fraude avec usurpation d’identité.

Une autre victime a depuis Axa été identifiée en la personne d'Eres. Selon un courrier consulté par l'Agefi, la fuite concerne des informations liées à l'identité et aux coordonnées des clients. Aucune donnée concernant les encours ou les opérations ainsi que les coordonnées bancaires liés aux contrats Eres n’aurait été compromise. 

Incertitude sur les données financières des clients de CGP

Harvest a diffusé aux CGP un kit de gestion de violations de données par le biais des associations professionnelles. Rédigé par l’avocate Fatoumata Badji du cabinet Clyde & Co, le document détaille la marche à suivre en cas de violation des données personnelles, concernant les obligations administratives comme l’information des clients.

Dans la foire aux questions qui l’accompagne, il est rappelé que le périmètre de compromission porte sur des fichiers internes de travail de collaborateurs d’Harvest et des comptes de messageries de salariés, auxquels le hacker « a pu avoir accès voire extraire certaines informations ». L’éditeur affirme à nouveau que ses solutions n’ont fait l’objet d’aucune « exfiltration, ni fuite ni lecture ».

Si l’on sait maintenant que des données d’identité et des données contractuelles ont été compromises, Harvest investigue encore concernant « les données financières (n° de compte CGP, n° client) » et les « coordonnées bancaires ».

Interrogée pour comprendre l’ampleur du phénomène, la Cnil répond seulement avoir « bien enregistré une notification de violation de données qui est en cours d’instruction ». Les professionnels touchés doivent le notifier dans les 72 heures après en avoir pris connaissance, qui courent à compter de la réception du mail d’Harvest informant de la violation. Un délai à respecter impérativement pour ceux dont la RC pro couvre le risque cyber.

Retour de Fidnet et Big

Difficile d’estimer pour l’heure l’ampleur des dégâts chez les CGP, d’autant que la liste n’est pas arrêtée de leur côté non plus. Selon les premières remontées, des audits patrimoniaux sont concernés. Harvest s’est donné jusqu’au 4 avril pour avertir tous les intermédiaires victimes de piratage.

Tous les services de l’éditeur n’ont d’ailleurs pas encore rouvert. Feefty, Quantalys, Prisme et O2S sont opérationnels, bien que ce dernier fonctionne de façon partielle et seulement sur les horaires de bureau, même si le profil investisseur et d’autres outils sont de nouveau disponibles depuis lundi.

Harvest a annoncé ce matin la réouverture de Big, en prévenant que « l’accès aux différentes fonctionnalités sera progressif ». La rédaction a appris d’une source proche du dossier le retour en ligne de Fidnet dans l’après-midi.

Les logiciels Hauméal, Clickimpôts, MoneyPitch doivent également rouvrir prochainement.