High-Tech

TalkTalk ne voyait pas l’obligation de chiffrer les données bancaires

17 août 2016 13 h 27 min
Ajouter un commentaire
Sébastien T.
4 minutes de lecture

L’opérateur britannique a confirmé que des RIB entiers et des numéros partiels de cartes bancaires avaient été accédés en clair sur ses serveurs, mais il se défend en prétendant que la loi n’oblige pas à les chiffrer.

C’est pas notre faute, c’est la loi qui ne nous disait pas comment faire notre métier. Voilà en substance l’étonnante défense présentée dimanche dans le Sunday Times par Dido Harding, la PDG de l’opérateur TalkTalk qui a dû reconnaître la semaine dernière le piratage de données bancaires de ses clients.

Les données sensibles des clients de l’opérateur britannique « n’étaient pas chiffrées » mais « vous n’avez aucune obligation légale de les chiffrer » a-t-elle expliqué au quotidien britannique, selon les propos rapportés par The Register. Si des données bancaires ont pu être interceptées en clair sur les serveurs de TalkTalk, ce ne serait donc pas la faute de l’opérateur mais celle des hackers.

« Nous nous sommes conformés à toutes nos obligations juridiques en terme de stockage des informations financières ».

Pas de numéro de carte bancaire entièrement visible

Une position étrange que Harding croit pouvoir tirer de la loi britannique sur la protection des données personnelles, qui ne demande pas explicitement le chiffrement des données bancaires. Mais comme toute législation sur le sujet dans l’Union européenne, la loi britannique impose néanmoins un devoir général de sécurisation, et demande que les entreprises prennent toutes les « mesures techniques et organisationnelles appropriées » pour éviter l’accès à des informations qu’elles détiennent sur leurs clients. Ces mesures doivent être d’autant plus sérieuses sur des données sensibles telles que des numéros de comptes ou de cartes bancaires.

Samedi, TalkTalk a par ailleurs envoyé un e-mail à tous ses clients pour tenter de les rassurer. « Le nombre de clients concernés et le volume de données potentiellement volées est plus petit que cru à l’origine », écrit ainsi l’opérateur dans un courriel transmis à Numerama par un client de l’opérateur.

Il y est précisé que les numéros de carte bancaires ne sont pas visibles dans leur intégralité, une série de 6 chiffres sur 16 étant masquée dans ses bases. En revanche, TalkTalk confirme que des RIB étaient bien stockés en clair et dans leur intégralité, mais il estime que le risque de contournement est minime.

Conscient que le message n’est toutefois pas rassurant pour tout le monde, TalkTalk annonce s’être associé avec la société Noddle pour fournir gratuitement pendant 1 an un service de surveillance d’anomalies sur l’activité des comptes bancaires.

Le message de Dido Harding aux abonnés :

[embedded content]

Articles liés

Lire

Grave piratage de l'opérateur TalkTalk : 4 millions de clients concernés
Grave piratage de l’opérateur TalkTalk : 4 millions de clients concernés

23 octobre 2015

Lire

La sécurité des logiciels de messagerie auscultée par l'EFF
La sécurité des logiciels de messagerie auscultée par l’EFF

05 novembre 2014

Lire

Les eurodéputés demandent le chiffrement systématisé de bout en bout
Les eurodéputés demandent le chiffrement systématisé de bout en bout

08 septembre 2015

Veuillez remplir les champs obligatoires.
Signaler un contenu



A propos de l'auteur

Voir tout les articles

Sébastien T.

Passionné depuis toujours par l'informatique et les jeux vidéos, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian.

Ajouter un commentaire

Cliquez ici pour poster un commentaire