Imaginez un instant que toutes les informations personnelles que vous avez laissées en ligne au cours des 30 dernières années soient soudainement mises aux enchères sur le marché noir numérique. C’est le cauchemar que vivent actuellement des milliards de personnes suite à la cyberattaque record qui a visé National Public Data.
L'ampleur du désastre :
- Chiffres clés : 2,9 milliards de personnes concernées soit plus d’un tiers de la population mondiale. Données ont été collectées sur 3 décennies. Les données ont été mises à la vente sur le dark web pour 3,2 millions de dollars.
- Les données volées : données personnelles privées (noms, adresses, numéros de téléphone, informations financières, Casier judiciaire et vérifications des antécédents etc.).
- Les conséquences : Risques encourus par les victimes (usurpation d’identité, escroqueries, chantage, etc.).
National Public Data quelle est l'activité de cette entreprise ?
D’après son site web nationalpublicdata.com, cette entreprise est un fournisseur de données de dossiers publics qui se spécialise dans les vérifications d’antécédents et la prévention de la fraude. Ils obtiennent des informations à partir de diverses bases de données de dossiers publics, de dossiers judiciaires, de bases de données international et étatiques et d’autres référentiels à l’échelle nationale. Ils fournissent ces données aux enquêteurs, aux sites Web de vérification des antécédents, aux revendeurs de données, aux applications mobiles, aux applications et plus encore.
Voici ce que l'on a appris du procès intenté contre le NPD .
Le NPD n’a pas encore confirmé la cyberattaque et n’a informé personne dans sa base de données d’une violation. La violation est devenue publique lorsqu’une action en justice a été intentée contre le NDP pour négligence, enrichissement sans cause et manquements à l’obligation fiduciaire et au contrat de tiers bénéficiaire.
Le 24 juillet 2024, Christopher Hofmann(le plaignant de plainte collective) a reçu une notification de son fournisseur de services de protection contre le vol d’identité l’informant que ses informations personnelles avaient été compromises en conséquence directe de la violation de « nationalpublicdata.com » et que ses informations personnelles avaient été trouvées sur le Dark Web.
Le procès allègue que le 8 avril 2024, un gang criminel connu sous le nom de USDoD a publié une base de données intitulée « National Public Data » sur un forum de hackers du Dark Web appelé « Breached ».
Les accusations portées contre NPD et la publicité autour de cette affaire risquent de ternir considérablement sa réputation. On va pas versé une larme et on espère même qu’elle se remettra pas. Une société comme celle-là avec le RGPD ne pourrait pas avoir pignon sur rue en Europe. Si des entreprises européenne recours à de quelle méthode elles encourent de lourdes amendes 10 millions d’euros ou 2% du chiffre d’affaires : c’est le cas lorsque les entreprises violent les conditions imposées concernant le recueil du consentement des enfants ou si elles ne respectent pas le principe du privacy by design ou du privacy by default. 20 millions d’euros ou 4% du chiffre d’affaires : c’est le cas lors d’une violation des principes de traitement des données ou le non-respect des conditions de licéité du traitement et des peines pouvant aller jusqu’à 5 ans d’emprisonnement . Le versement de dommages et intérêts qui ne se substitue pas aux sanctions administratives et pénales mais vient s’y ajouter.
Le procès-verbal du procès est disponible ici : Hofmann v. Jerico Pictures, Inc., Docket No. 0:24-cv-61383 (S.D. Fla. Aug 01, 2024), Court Docket
Conclusion
Cette cyberattaque marque un tournant dans l’histoire du numérique. Elle nous rappelle que nos données personnelles sont une monnaie d’échange précieuse sur le dark web et que nous devons tous prendre conscience des risques encourus. Il est urgent de renforcer la sécurité en ligne à tous les niveaux pour protéger nos vies numériques.