Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) de l’Union européenne est entré en vigueur, apportant avec lui l’effort gouvernemental le plus important à ce jour pour réglementer la sécurité des données et la vie privée. Parmi les nombreuses dispositions de ce RGPR, figure le « droit d’accès », qui stipule que les individus ont le droit d’accéder à leurs données personnelles. Les ingénieurs sociaux peuvent facilement abuser de cette disposition pour voler des informations sensibles qui ne leur appartiennent pas.
Cette « performance » a été réalisé par James Pavur, un chercheur en cybersécurité au sein de l’Université d’Oxford et présenté lors de la BlackHat 2019 aux Etats-Unis. Ses recherches sont axées sur une étude de cas pratique où il a tenté de voler autant d’information que possible au sujet de sa fiancée (avec son consentement) en utilisant les demandes d’accès par sujet du RGPD.
Dans un sondage mené auprès de plus de 150 entreprises, il démontre que les organisations fournissent volontiers des renseignements de nature très délicate en réponse aux demandes de droit d’accès du RGPD, sans vérification ou presque de la personne qui fait la demande. Cela va des données d’identité sensibles typiques comme les adresses et les informations de carte de crédit aux données ésotériques comme l’historique des voyages en train ou une liste des domaines détenus. Bien que trop souvent aucune preuve d’identité ne soit requise, même dans le meilleur des cas, le RGPD permet à une personne capable de voler ou de falsifier un permis de conduire d’avoir un accès presque complètement à votre vie numérique.
De plus, le caractère hautement standardisé des requêtes RGPD permet d’automatiser ce processus à grande échelle et constitue l’une des typologies d’attaques de phishing générales les plus fiables à ce jour.
Il s’agit d’un problème qui aurait pu être résolu et qui aurait pu être intégré dans le RGPD initial si la législation réglementaire avait été soumise à des évaluations de sécurité comme celles utilisées pour les logiciels modernes.
L’exposé propose des mesures correctives possibles et constitue une mise en garde à l’intention des futurs responsables de l’élaboration de la législation sur la protection de la vie privée inspirée par le RGPD. Il suggère également des moyens à court terme par lesquels les individus et les entreprises qui cherchent à se protéger contre ces attaques.
