Vol de données chez Robinhood : comment se protéger des cyberattaques ?

Vol de données chez Robinhood : comment se protéger des cyberattaques ?
⏱ Lecture 4 min

Par Amanda Dubarry et Virgile Servant-Volquin 

Le 8 novembre 2021, la société Robinhood a annoncé sur Twitter avoir subi un piratage le 3 novembre dernier ayant résulté en une fuite de données de près de 5 millions de ses utilisateurs.

Cette énième cyberattaque s’inscrit dans un contexte de hausse continue des tentatives de piratage et de son corollaire, l’explosion des dépenses en cybersécurité. Le moyen de l’attaque – par ransomware – est d’ailleurs devenu le principal moyen informatique d’extorquer des sommes à des sociétés entre 2019 et 2020 comme l’a souligné l’ANSSI dans un récent rapport.

Robinhood, c’est quoi ?

Robinhood est une société californienne de services financiers. Elle offre à ses utilisateurs la possibilité d’investir sur un large portefeuille de produits financiers sans frais et notamment des valeurs numériques, cryptomonnaies au premier chef. La société jouit de la plus grande base de clients mondiale avec près de 22 millions d’utilisateurs et 95 milliards de dollars d’encours clientèle.

La société s’était fait remarquer pour son rôle dans l’affaire « Gamestop » en ayant limité les achats d’actions et d’options sur les sociétés ciblées par les traders. Introduite en bourse sur le NASDAQ américain en juillet, les titres de la société ont connu un pic à 84 dollars l’action jusqu’à redescendre à un peu moins de 30 dollars la semaine dernière.

Le statut de leader de Robinhood sur son marché, son encours clientèle colossal ainsi que le haut niveau de numérisation de ses activités en font une cible parfaite pour les hackers.

Une fuite de données sensibles ?

Tous les utilisateurs n’ont pas été touchés de la même manière par la fuite de données. Selon Robinhood, les données suivantes ont été copiées par les hackers :

  • Les adresses mail de 5 millions de personnes ;
  • Les noms, prénoms de 2 millions de personnes ;
  • Les noms, date de naissance et codes postaux de 310 personnes.

Robinhood, uniquement disponible aux Etats-Unis, affirme avoir contacté les autorités compétentes et avoir fait le nécessaire pour engager des poursuites.

  • Si l’application avait été disponible au sein de l’Union européenne et ciblé ainsi des résidents européens, l’autorité de contrôle compétente aurait eu la faculté d’imposer une amende[1] à la société du fait du manquement à l’obligation de sécurité[2] de la société.

Pour rappel, le fait que la fuite n’ait pas donné lieu à la matérialisation d’un dommage, comme des versements effectués avec les coordonnées bancaires des clients, n’est pas de nature à rendre le régime de sanction prévu par le RGPD inapplicable.

D’autres facteurs sont également pris en compte, comme les catégories de données concernées. A ce titre, le RGPD établit une différence entre les données personnelles et les données sensibles qui sont celles qui peuvent avoir une incidence importante sur un l’individu[3], comme :

  • Son origine raciale ou ethnique ;
  • Ses opinions politiques ;
  • Ses convictions religieuses ou philosophique ;
  • Son appartenance syndicale ;
  • Ses données génétiques et biométriques ;
  • Ses données de santé ;
  • Ses données concernant sa vie ou son orientation sexuelle.

Les données bancaires (qui n’ont pas été subtilisées aux utilisateurs de Robinhood) ont un statut à part du fait des conséquences préjudiciables qu’elles peuvent avoir sur les individus. En effet, la compromission des coordonnées bancaires d’un individu peut permettre la commission de nombreuses fraudes en son nom.

  • Le CEPD (Comité européen de protection de la donnée) considère donc que les données bancaires sont « hautement personnelles » et les assimile à des données sensibles.

Quel est le mode opératoire des hackers ?

L’introduction d’un tiers dans le système d’information de Robinhood ayant été rapidement détectée, la plus probable conséquence à venir est donc probablement une vague de phishing à destination des utilisateurs concernés. Le peu d’information récolté (essentiellement des noms et des adresses mail) laisse supposer que les tentatives de phishing à venir ne soient pas très efficaces.

Toutefois, les hackers ont pour habitude de revendre les données subtilisées sur le darkweb, permettant à d’autres hackers de bénéficier de plus d’informations sur leurs éventuelles cibles, ou tout du moins, de les recouper.

En outre, l’attaque sur Robinhood se distingue par le mode d’action choisi par les hackers. Ces derniers se seraient introduits sur le système d’information de la société en se faisant passer pour un tiers autorisé auprès du service client. Il s’agit là d’une variante à la fraude au président.

  • Il s’agit d’une technique de fraude consistant à se faire passer pour le président de la société mère ou du groupe en vue d’obtenir des accès au système d’information.
  • Plusieurs mesures peuvent être prises en vue de limiter le risque de ce type de fraude et notamment :
    • Organiser la segmentation des accès informatiques et la gestion des autorisations
    • Sensibiliser les collaborateurs à ce type de fraude dans la charte informatique

BYOD : assurer la sécurité du système d’information

Ce type de cyber-attaque est généralement mené lorsque l’organisation est désorganisée comme lors d’une période de trouble ou de congés. Dans le cas de Robinhood, les hackers ont pu profiter d’un effet de désorganisation mondial dû à l’épidémie de Covid-19.

En effet, une quantité significative de collaborateurs, surtout dans des entreprises de service comme Robinhood, ont basculé en télétravail. Ce mouvement a naturellement occasionné une désorganisation et une multiplication des appels entre collaborateurs, dans l’esprit de maintenir un lien direct comme lors du travail en présentiel.

Cette forme de sédentarisation du travail qui entraîne une désorganisation éphémère n’est d’ailleurs pas le seul facteur de risque pour la cybersécurité des organisations. Le BYOD (« Bring your own Device ») l’est également. Ce terme fait référence à la politique SI d’entreprise qui permet aux salariés d’utiliser leurs appareils informatiques personnels à des fins professionnelles en vue d’augmenter leur productivité et de réduire les coûts.

Le BYOD n’est pas sans désavantage : la sécurisation moindre des appareils, le plus grand risque de confusion entre la vie privée et la vie professionnelle sont autant de raisons pour lesquelles celui-ci doit être encadré avant son déploiement, par le biais d’un avenant au règlement intérieur de la société, au sein de sa charte informatique.

***

Le département cyber sécurité du Cabinet Haas AvocatsCabinet spécialisé depuis plus de 25 ans en droit des nouvelles technologies et de la communication et en droit de la propriété intellectuelle, se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Pour en savoir plus, rendez-vous ici.

 

[1] Article 83 du RGPD

[2] Article 32 du RGPD

[3] Article 9 du RGPD

Amanda DUBARRY

Auteur Amanda DUBARRY

Suivez-nous sur Linkedin