Marché

Harvest : les données fuitent sur le dark web

L’éditeur ayant refusé de payer la rançon demandée par les cyberpirates à l’origine du hack du 27 février, ces derniers ont mis leur menace à exécution. L’ampleur de la fuite, de même que le périmètre exact des données concernées, n'est pas encore totalement arrêté. 

Est-ce la fin de l’épisode Harvest, ou son commencement ? Le groupe « Run Some Wares » a revendiqué l’attaque au rançongiciel qui a frappé Harvest le 27 février en publiant le 11 avril sur le dark web (inacessible via les navigateurs traditionnels) une série de fichiers obtenues après la cyberattaque.

Dans l’un des index que la rédaction a pu consulter, on trouve de nombreux fichiers internes, qui concernent un projet d’intelligence artificielle, les applicatifs du groupe ou son CSE. Les noms d’entreprises victimes de fuites de données dont la presse avait déjà eu vent apparaissent également, comme BPCE ou AXA.

Pour d’autres, il n’y avait pas encore eu de communication au public, comme la Caisse des dépôts et consignations (CDC), le Crédit social des fonctionnaires (CSF), Century 21, ou BPE, l’ancien nom de Louvre Banque Privée. Pour autant, les données concernées pourraient être issues de contrats entre ces entreprises et Harvest plutôt que des données de clients finaux comme cela a été le cas pour les sociétés précédemment listées par la presse.

Données sensibles

D’autres données leakées laissent apparaître de nombreuses informations patrimoniales relatives aux clients finaux sont visibles, dont le niveau de revenu, l’origine de l’épargne, la catégorie socio-professionnelle, le code postal de résidence, la nationalité, le nombre d’enfants, l’année d’entrée en relation, le niveau d’encours…

L’Agefi Patrimoine, qui a pu consulter certains jeux de données, fait également état de mots de passe, de détails de contrats signés avec des institutionnels ou d’informations relatives à aux détenteurs d’assurance vie.

Harvest, dans un mail envoyé après le leak, affirme que les informations des clients ne sont « ni sensibles ni personnelles, comme quelques contrats et projets de travail ». ll faut comprendre l’adjectif « sensible » au sens du règlement européen sur la protection des données (RGPD), qui classe dans cette catégorie les informations qui révèlent les opinions politiques, les convictions religieuses ou philosophiques, les données génétiques…

Mises en demeure

L’entreprise a envoyé deux lettres de mises en demeure à des individus ayant diffusé des données disponibles sur le dark web. Dans les courriers, elle prévient qu’elle « agira immédiatement en cas de publication de ses données frauduleusement obtenues, y compris de données prétendument pseudonymisées, et dont la divulgation à des tiers est légalement interdite ».

Les intéressés ont répondu en faisant valoir que ces données sont accessibles librement sur le deep web et que leur diffusion anonymisée concerne des questions d'intérêt général (une notion jurisprudentielle qui fait obstacle à une condamnation pour recel pour les journalistes), affirmant au passage que des documents d’identité en font partie. Couplée avec les autres informations disponibles, ces fuites pourraient ouvrir la voie à de potentielles fraudes à l’usurpation d’identité.

Interrogé, un porte-parole d’Harvest réfute en indiquant que « la typologie de données concernées rend les risques hypothétiques limités ».

Fuite massive ou limitée ?

Le périmètre exact des données dans la nature reste donc encore à arrêter, de même que leur nombre, faramineux de l’avis de plusieurs observateurs.

Sur Linkedin, l’expert en cybersécurité Clément Domingo affirme que 5 000 entreprises clientes d’Harvest sont concernées.

Sur Challenges, le directeur marketing de Nomios Romain Quinat évoque des fichiers Excel présents sur des boites mails de collaborateurs compromises qui contenaient les données de 35 000 clients finaux. Pour rappel, les données ont été extraites à partir de fichiers internes et de messageries de collaborateurs et non directement des applicatifs.

Plusieurs CGP victimes de fuites de données relatives à leurs clients estiment même que la quasi-totalité du marché est touchée.

Ici aussi, Harvest conteste : « Les données extraites des répertoires et des boîtes emails représentent une part limitée et les données personnelles représentent une part encore plus réduite des données extraites ».

Fuite anticipée

Les cyberpirates ont également publié des extraits de leurs échanges avec le négociateur mandaté par Harvest. Dans ceux-ci, les malfaiteurs fournissent un fichier volé comme preuve de leur attaque, tandis qu’Harvest leur demande d’être patient, le temps de vérifier les données concernées.

« Nous n’aurions jamais pris le risque de financer le terrorisme mais nous devions gagner du temps pour terminer les analyses forensiques et permettre aux autorités de mener leur enquête, éclaire un porte-parole d’Harvest. Nous savions donc que ces données seraient publiées, même si nous ne savions pas quand. »

Harvest a maintenant terminé son analyse, mais en entame une deuxième qui fait office de double vérification de ses systèmes.

« Si on peut faire le rapprochement entre les données piratées et une personne, cela constitue une violation de la confidentialité des données personnelles et un manquement à l’obligation de garantir la sécurité de ces mêmes données prévue par le RGPD, analyse Silvestre Tandeau de Marsac, associé chez FTMS avocats. Harvest doit maintenant poursuivre son audit et préciser la nature des risques pour les personnes concernées. »