C’est pas notre faute, c’est la loi qui ne nous disait pas comment faire notre métier. Voilà en substance l’étonnante défense présentée dimanche dans le Sunday Times par Dido Harding, la PDG de l’opérateur TalkTalk qui a dû reconnaître la semaine dernière le piratage de données bancaires de ses clients.
Les données sensibles des clients de l’opérateur britannique « n’étaient pas chiffrées » mais « vous n’avez aucune obligation légale de les chiffrer » a-t-elle expliqué au quotidien britannique, selon les propos rapportés par The Register. Si des données bancaires ont pu être interceptées en clair sur les serveurs de TalkTalk, ce ne serait donc pas la faute de l’opérateur mais celle des hackers.
« Nous nous sommes conformés à toutes nos obligations juridiques en terme de stockage des informations financières ».
Pas de numéro de carte bancaire entièrement visible
Une position étrange que Harding croit pouvoir tirer de la loi britannique sur la protection des données personnelles, qui ne demande pas explicitement le chiffrement des données bancaires. Mais comme toute législation sur le sujet dans l’Union européenne, la loi britannique impose néanmoins un devoir général de sécurisation, et demande que les entreprises prennent toutes les « mesures techniques et organisationnelles appropriées » pour éviter l’accès à des informations qu’elles détiennent sur leurs clients. Ces mesures doivent être d’autant plus sérieuses sur des données sensibles telles que des numéros de comptes ou de cartes bancaires.
Samedi, TalkTalk a par ailleurs envoyé un e-mail à tous ses clients pour tenter de les rassurer. « Le nombre de clients concernés et le volume de données potentiellement volées est plus petit que cru à l’origine », écrit ainsi l’opérateur dans un courriel transmis à Numerama par un client de l’opérateur.
Il y est précisé que les numéros de carte bancaires ne sont pas visibles dans leur intégralité, une série de 6 chiffres sur 16 étant masquée dans ses bases. En revanche, TalkTalk confirme que des RIB étaient bien stockés en clair et dans leur intégralité, mais il estime que le risque de contournement est minime.
Conscient que le message n’est toutefois pas rassurant pour tout le monde, TalkTalk annonce s’être associé avec la société Noddle pour fournir gratuitement pendant 1 an un service de surveillance d’anomalies sur l’activité des comptes bancaires.
Le message de Dido Harding aux abonnés :
https://youtu.be/f3ENte820Ao
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !