Le Centre de développement chorégraphique national (CDCN) Les Hivernales à Avignon vient d’être victime d’une attaque informatique. Un piratage qui a entrainé une perte des données confidentielles des utilisateurs du compte client de la structure culturelle vauclusienne ainsi qu’un signalement auprès de la CNIL.

« A date du 28 juin 2024, notre prestataire éditeur d’une solution logicielle de billetterie nous a informé avoir subi un incident de sécurité informatique, expliquent Les Hivernales dans un communiqué destiné à son public. Notre prestataire a subi une attaque informatique ayant permis de subtiliser des identifiants d’accès à un serveur de production, et ayant pour conséquence une perte de confidentialité des données présentes sur le serveur concerné. »

Si cet incident de sécurité est désormais clos, certaines des données à caractère personnel ont potentiellement été impactées par cet acte malveillant.

Les données personnelles concernées sont les suivantes :
• Nom
• Prénom
• Adresse email
• Numéro de téléphone
• Adresse postale

« En outre, et uniquement si vous avez créé un compte client sur l’espace de vente en ligne de billets, votre mot de passe utilisé pour la connexion a également pu être compromis, insistent la structure culturelle dédié à la danse qui a vu le jour dans la cité des papes en 1978. A l’heure actuelle, un attaquant ne peut plus utiliser votre mot de passe puisqu’une réinitialisation de sécurité a été réalisée suite à la découverte de l’incident. Dans un premier temps, nous tenons à vous présenter nos excuses pour ce désagrément : nous sommes actuellement en train de déployer les mesures techniques et juridiques nécessaires. »

« Vos données à caractère personnel sont susceptibles d’être potentiellement utilisées à des fins malveillantes. »

La CNIL alertée
Par ailleurs, Les Hivernales a procédé à une notification de cet incident auprès de la Commission nationale de l’informatique des libertés (CNIL) conformément aux dispositions réglementaires applicables.
« Concernant les conséquences probables de la violation, vos données à caractère personnel sont susceptibles d’être potentiellement utilisées à des fins malveillantes, et notamment afin de réaliser des tentatives d’attaques de type ‘phishing’ ou ‘credential stuffing’ : vous pouvez en savoir plus sur ces types d’attaques en consultant le site de la CNIL : https://www.cnil.fr/fr/definition/credential-stuffing-attaque-informatique ,» poursuit l’équipe des Hivernales.

En conséquence, Les Hivernales recommandent fortement d’appliquer les
recommandations de sécurité suivantes :

• Soyez particulièrement vigilants si vous recevez des emails et/ou SMS dont vous ne connaissez pas l’identité de l’émetteur : ne cliquez sur aucun lien et ne répondez pas à ces messages suspects.

• Ne cliquez pas sur des liens hypertextes contenus dans des messages semblant suspicieux.

• Ne renseignez jamais de coordonnées, et notamment de coordonnées bancaires, même si le message semble émaner de votre Banque. En cas de doute, contactez directement votre organisme bancaire.

• Si vous avez reçu un spam sur votre messagerie électronique, ou si le message paraît être une tentative de ‘phishing’, ne répondez pas et n’ouvrez pas les pièces jointes, les images ou les liens contenus dans le message. Signalez-le gratuitement à la plateforme www.signal-spam.fr.

• Si vous avez préalablement créé un compte sur l’espace de vente en ligne de billets, Les Hivernales recommandent aussi très fortement de :

o Changer tous les mots de passe identiques ou similaires utilisés sur vos autres comptes personnels (réseaux sociaux, espace bancaire, etc…) par un mot de passe différent.

o N’utilisez que des mots de passe robustes. Pour en savoir plus, vous pouvez générez un mot de passe solide sur le site de la CNIL en cliquant ici : https://www.cnil.fr/fr/generer-un-mot-de-passe-solide

o Vérifier l’intégrité de vos données sur chaque compte en ligne concerné et surveillez toute activité suspecte sur tous les comptes où vous utilisiez le mot de passe que votre espace de vente en ligne de billets.

D’une façon générale, Les Hivernales invitent à une très grande vigilance concernant tout particulièrement les activités suspectes identifiées sur les données à caractère personnel.
« Nous nous tenons bien naturellement à votre entière disposition pour toute information complémentaire sur cet incident : vous pouvez nous contacter sur ce sujet à l’adresse suivante : billetterie@hivernales-avignon.com », conclut le Centre de développement chorégraphique national.

L.G.

L’autorité irlandaise de protection des données (DPC) a infligé une amende record de 1,2 milliard d’euros au groupe Meta, qui exploite entre autres les plateformes Facebook, Instagram et WhatsApp. La décision concerne plus précisément le réseau social Facebook, à qui il est reproché le transfert de données personnelles d’internautes européens aux États-Unis. Il s’agit d’une amende sans précédent dans l’Union européenne, dépassant de loin celle prononcée par le Luxembourg contre Amazon pour « non-respect des principes généraux de traitement des données » en 2021 (746 millions d’euros).

Comme le montre notre graphique, depuis l’adoption du règlement général sur la protection des données (RGPD) il y a cinq ans, Meta cumule les amendes monstres. Le top 10 des plus lourdes sanctions infligées pour infraction au RGPD est presque intégralement occupé par des services du groupe dirigé par Mark Zuckerberg. Facebook, Instagram et WhatsApp ont ainsi reçu 7 des 10 plus grosses sanctions prononcées dans l’Union européenne à ce jour. Cumulées, ces sept amendes reçues par Meta entre 2021 et 2023 représentent un total de plus de 2,5 milliard d’euros.

Le cadre réglementaire du RGPD vise à donner aux utilisateurs un plus grand contrôle sur leurs données personnelles et impose de nouvelles normes à la gestion des données par les entreprise. Pour les contrevenants à ces règles, les sanctions sont souvent lourdes. Le RGPD a été mis en place le 25 mai 2018, en remplacement de la directive européenne sur la protection des données de 1995, et contient 99 articles. En mai 2023, le suivi de CMR.Law a recensé plus de 1 600 violations individuelles du RGPD depuis sa mise en place, bien que les données soient probablement incomplètes puisque toutes les amendes ne sont pas rendues publiques.

De Tristan Gaudiaut pour Statista

Le monde passe en moyenne près de 7 heures par jour connecté à Internet. En ce moment même, une quantité énorme de données, souvent de nature privée, transite sur la toile, et le nombre de personnes préoccupées par la sécurité de leurs données personnelles ne cesse d’augmenter.

Selon les données d’Eurostat, un citoyen européen sur quatre a déclaré avoir évité de fournir des informations personnelles sur les réseaux sociaux ou professionnels en 2019 pour des raisons de sécurité. Comme dans un certain nombre d‘autres domaines, ce sont les Français qui se montrent les plus méfiants. 40 % des personnes interrogées en France ont préféré ne pas fournir de données personnelles sur une plateforme par crainte de sécurité, soit le pourcentage le plus élevé de l’étude. Parmi les plus inquiets à ce sujet, on retrouve ensuite les Pays-Bas (39 %), la Finlande (37 %), ainsi que la Slovaquie et la Suède (36 % chacun).

En revanche, la question des données personnelles semble moins préoccupante dans les pays d’Europe de l’Est, où un pourcentage beaucoup plus faible de la population déclare s’être abstenu de fournir de telles informations : 9 % en Croatie et Roumanie, 8 % en Bulgarie et Hongrie, 6 % en Lituanie.

Sur le même sujet : vous pouvez consulter notre graphique sur les applications qui partagent le plus de données avec des tiers.

De Tristan Gaudiaut pour Statista