Droit à la vie privée
Il y a quelques jours, un lecteur/participant au Hackfest nous a contactés pour nous raconter une histoire un peu surprenante. Il aurait été victime d’une « fuite d’informations » suite à un achat fait au cours de l’été. Nous avons trouvé l’histoire assez intéressante pour vous la présenter. La personne, ne désirant pas être identifiée, nous avons retirés et modifiés quelques éléments de son message qui auraient permis de l’identifier.
Voici son histoire :
« Cette année pendant le temps des fêtes il s’est produit un évènement dont j’aimerais vous parler pour savoir ce que vous en pensez. Quelqu’un de ma famille explique qu’elle magasinais quelque semaine avant cette soirée puisqu’elle était intéressée par un produit en vente à cet endroit.
Le/la vendeur fait un discours de vente. Cette personne de ma famille, sait que je me suis aussi procurer le produit en question et que j’ai connu des problèmes avec le produit dit au vendeur « j’aime ça mais je connais quelqu’un qui a eu des problèmes et ça été long à régler ». Cette personne de ma famille ne possède pas d’informations précises sur le genre de problème que j’ai connu avec la pièce matériel que j’ai acheté plusieurs mois plus tôt.
Le/la vendeur, dans l’espoire de gagner un client, demande donc quel est mon nom. Il voulait montrer à l’acheteur potentiel que le magasin c’est bien occupé de moi. Une fois identifié, le vendeur, selon ce qu’on me dit, trouve mon dossier personnel, et divulgue l’ensemble de mes informations à ce membre de ma famille.
Cette personne a donc eu accès à des informations comme la date où j’ai fait l’achat, le détail complet de mes problèmes, certaines informations sur le mode de financement choisit, les autres items qui étaient sur la facture, les moments précis où j’ai porté plainte à la compagnie et les raisons précises pour lesquels ces plaintes ont été faite
Je me demande un peu quoi faire.
Bon ok le résultat n’est pas super grave mais ces informations étaient privées. Non seulement j’ai été victime, mais mes informations personnelles ont étés utilisées par cette compagnie dans l’espoir de vendre un article à un membre de ma famille. Aucun pirate mais fuite d’informations. »
Le reste du texte, pour des raisons de respect de la vie privée a été omis.
Imaginez à quel point une attaque d’ingénierie sociale pourrait prendre avantage de cette pratique.
Toute cette histoire soulève une question importante pour les compagnies clientes d’autres compagnies :
Peut-on faire confiance aux fournisseurs avec lesquels nous faisons affaires?
Cette histoire force à jeter un regard à cette question et nous en concluons qu’il n’existe que deux éléments pouvant permettre à un client d’espérer pour le mieux. Le premier, un contrat solide entre les parties contractantes facilitant les recours en cas de fuite d’informations. Le deuxième, le choix d’un fournisseur non pas en se basant sur le prix offert par ce fournisseur mais bien en se basant sur la qualité et sur la réputation de ce fournisseur. Il incombe ainsi que le choix d’un fournisseur, autant dans un contexte d’affaires que personnelle, devrait inévitablement passer par une vérification des antécédents de cette compagnie en matière de sécurité de l’information.
Pensez à l’ensemble des compagnies avec lesquelles vous faites ou avez fait affaires. Avons-nous besoin d’ajouter quoi que ce soit?
La personne ayant écrit ce courriel nous informe qu’elle est actuellement à la recherche de recours contre la compagnie visée. Nous avons bien hâte d’avoir des nouvelles de ce dossier…