terovesalainen - stock.adobe.com
Voyageurs du Monde : y a-t-il un DPO dans l’avion ?
Dans un entretien avec Franceinfo, le PDG du voyagiste, victime d’une cyberattaque mi-mai, apparaît ignorer les risques que font peser les données dérobées par LockBit 3.0 sur ses clients.
Rappelez-vous, le 17 mai 2023, Voyageurs du Monde, révélait dans un communiqué de presse, une « information réglementaire » : il avait « subi dans la nuit du 15 au 16 mai, une cyberattaque ».
Très affirmatif, le voyagiste assurait alors « à date, aucun élément ne permet de nous indiquer que des données de nos clients ont été dérobées ». Le lendemain, sur Twitter, le groupe adoptait une formulation plus rassurante et plus affirmative encore : « à ce jour, aucune donnée de nos clients, ou de paiement, n’a été dérobée ».
Ce mardi 6 juin, le PDG de Voyageurs de Monde, Jean-François Rial, s’exprimait sur la cyberattaque au micro de Franceinfo. Loin de revenir sur la communication initiale de son entreprise, il apparaît continuer de minimiser l’incident et sa portée, pour ses clients.
Un risque d’usurpation d’identité ignoré
Pour lui, les cybercriminels « font les malins pour pas grand-chose », en revendiquant le vol et la divulgation des copies numériques de près de 10 000 passeports. Parce que selon Jean-François Rial, « il n’y a aucune donnée biométrique, ce qui serait vraiment le seul truc intéressant pour ces passeports ». Et d’assurer même que « les policiers et gendarmes “disent que ça ne sert à rien” de porter plainte, car répète-t-il, “sans données biométriques, ça ne sert pas à grand-chose” ».
Alors, indique le PDG du voyagiste, « franchement, on n’est pas inquiet ». Car, indique-t-il à nos confrères, « on aurait été inquiet si on n’avait pas réussi à rétablir notre système. Visiblement, ce n’est pas le cas puisqu’on refonctionne correctement depuis deux semaines ».
Ses clients apprécieront sans doute que Jean-François Rial n’entrevoie pas le moindre risque d’usurpation d’identité et, dès lors, ne s’en soucie pas. À se demander pourquoi Voyageurs du Monde n’a pas, tant qu’à faire, et puisque ces données personnelles sont sans valeur, stocké ses copies de passeports et autres documents volés par un affidé LockBit 3.0 sur un bucket S3 accessible à tous, directement sur Internet, sans authentification.
Et si l’attention est concentrée sur les passeports, quid des copies de cartes nationales d’identité ? Là, difficile de brandir les données biométriques pour balayer tout risque d’usurpation d’identité.
Quelle politique de gestion des données personnelles ?
Mais il y a plus surprenant encore, s’il le fallait. À nos confrères, Jean-François Rial explique que les assaillants « ont réussi à nous prendre à peu près 1 % des photocopies de passeports. Cela concerne notre activité de groupes et collectivités ». Ce qui suggère que Voyageurs du Monde a, en sa possession, les copies de… 1 million de passeports.
Cela fait assurément beaucoup. Mais après tout, cela ne semble pas complètement impossible, à compter que le tour opérateur ait effectivement fait voyager 1 million de personnes depuis sa création : selon la liste que nous avons pu consulter, les copies de passeport les plus anciennes, parmi celles divulguées par LockBit, remonteraient à 2011. Bonne nouvelle dès lors : la date d’expiration est passée. Mais c’est loin de valoir pour toutes les copies.
La liste fait état de fichiers créés en 2023, mais également de copies de passeport qui seront, d’après les noms des fichiers, valides encore longtemps, jusqu’en 2032 pour certains.
Dans sa politique en matière de confidentialité et de cookies, datant du 2 mai 2018, Voyageurs du Monde affirme que les données personnelles collectées sont conservées « pour une durée proportionnée, nécessaire à l’objectif pour lequel nous les traitons, et en tout état de cause pour la durée nécessaire pour répondre à une obligation légale ou réglementaire ».
Sur une « demande de devis de prestation de voyage, inscription et réalisation des prestations de voyage », « les données nécessaires au traitement de votre demande seront conservées pendant la durée nécessaire à l’établissement d’un devis ou d’un contrat puis pendant la durée de votre voyage conformément à la législation applicable et en tout état de cause pour la durée nécessaire pour répondre à une obligation légale ou réglementaire ».
Nous avons adressé un e-mail à Voyageurs du Monde en demandant « concrètement, pour la réalisation des prestations de voyage, à combien de jours, mois ou années s’établit la “durée nécessaire” ». Nous mettrons à jour cette tribune lorsqu’une réponse nous parviendra.
De premiers clients mécontents
Si Jean-François Rial espérait rassurer ses clients avec les propos tenus auprès de nos confrères, il risque de ne pas être pleinement satisfait des résultats. Sur les réseaux sociaux, les réactions sont déjà parfois cinglantes, interpelant notamment sur le respect du RGPD. L’experte Rayna Stamboliyska, autrice de La Face Cachée d’Internet, n’est pas tendre, parlant d’incurie et d’inconséquence.
Selon Franceinfo, « les clients concernés ont été prévenus ». Mais l’un des commentateurs est formel : « je fais partie des 8 000 clients dont le passeport est sur Internet. La communication du groupe est calamiteuse, à l’heure actuelle si je n’avais pas téléchargé moi-même l’archive je ne serais toujours pas au courant si mon passeport avait fait l’objet d’une fuite ». LeMagIT a également été sollicité par des personnes souhaitant savoir si elles étaient concernées. Le 5 juin, un internaute indiquait sur Twitter n’avoir toujours pas été informé, mais un autre affirmait déjà le 31 mai avoir reçu un e-mail d’information.
À décharge, il convient de souligner que prévenir individuellement près de 10 000 personnes peut prendre un peu de temps et s’avérer difficile, s’il s’agit de trouver les coordonnées actuelles de clients de plus de dix ans.