Comment une des plus grandes compagnies d’assurance américaines a-t-elle pu laisser les données sensibles de la majorité de ses clients s’échapper sous le nez de ses propres équipes ? Que nous dit cette nouvelle fuite de données sur la capacité réelle des géants de la finance à protéger les informations personnelles de millions de citoyens ?
Depuis la mi-juillet, Allianz Life fait face à une tempête médiatique suite à la révélation d’une faille de sécurité majeure ayant permis à des hackers d’accéder à sa base de données client. Qui sont ces pirates qui, par le biais d’un « social engineering » bien rôdé, ont pu se faire passer pour un employé oublié et tromper les équipes de support ? Allianz Life le dévoilait tout juste ce week-end : ils ignorent toujours l’identité des auteurs de ce piratage, mais admettent que la quasi-totalité des 1,4 million de clients, de conseillers financiers et même certains salariés ont vu leur vie privée exposée.
Quelles informations pouvaient bien intéresser autant les cybercriminels ? Selon de multiples documents déposés auprès des autorités du Texas et du Massachusetts, il s’agit d’éléments parmi les plus critiques : noms, adresses postales, dates de naissance, et surtout numéros de sécurité sociale. Pourquoi la compagnie peine-t-elle à donner une liste publique et complète des informations volées, alors que des millions d’Américains risquent désormais l’usurpation d’identité ?
Cette nouvelle brèche remet en lumière la vulnérabilité persistante des institutions financières face aux attaques de plus en plus sophistiquées de l’ingénierie sociale.
Faut-il s’inquiéter d’un système globalement défaillant ? Allianz Life rejoint récemment Aflac et Erie Insurance dans la liste croissante des assureurs touchés par des failles similaires. Est-ce le signe d’une vague ? Les groupes de hackers spécialisés dans le « social engineering » semblent avoir affiné leurs méthodes et multiplié leurs cibles, du secteur des assurances jusqu’au transport aérien.
Pourquoi la transparence reste-t-elle partielle ? Contactée par TechCrunch, l’entreprise refuse de détailler la nature des données compromises avant le 1er août, date présumée d’envoi des notifications aux clients lésés. Que devront faire ces derniers, informés tardivement, pour se protéger des risques d’arnaques et de vols d’identité ?
Comment les institutions financières vont-elles regagner la confiance du public face à ces menaces répétées ? Le secteur est-il assez réactif face à des attaques dont la sophistication ne cesse de croître, notamment à travers le recours au piratage psychologique ? Quels outils, quelles formations, quel éveil à la cyber-sécurité pour endiguer ce flux ininterrompu de fuites, alors que les conséquences pour les particuliers pourraient s’avérer désastreuses ?
A mesure que la liste des victimes s’allonge, quelle sera la prochaine cible sur la liste des cybercriminels ? Les clients et collaborateurs d’Allianz Life peuvent-ils encore espérer un quelconque retour à la normale, ou s’agit-il du nouveau visage, permanent, du risque numérique dans les secteurs de la finance et de l’assurance ?
Source : Techcrunch
