Iberdrola condamnée à 6,5 millions d’euros d’amende
Il y a deux ans, la société ibérique I-DE Redes Eléctricas Inteligentes, distributeur d’électricité du groupe Iberdrola subit une cyberattaque. Les données de 1,3 million de clients étaient exposées. Le 15 mars 2022, l’incident se déroulait, le lendemain il est clos. La police affirmait que les responsables de cette attaque n’ont pas eu accès à des données sensibles. Le vol concerne au total 1,5 million de clients de I-De et Curenergia. La fuite a permis de télécharger pendant 7 jours les informations personnelles de millions de consommateurs à partir de son service de gestion des dossiers de raccordement.
Le prénom, nom, le numéro d’identification, l’adresse de domicile, le téléphone et le courriel sont divulgués. L’Agence espagnole de protection des données (AEPD) vient d’infliger une amende de 6,5 millions d’euros en ce mois d’avril 2024.
Grosse amende contre grosse fuite
Ainsi, durant une semaine, les personnes à l’origine du vol copient les informations de plus d’un million de clients. La société compte plus de 20 millions d’utilisateurs. Mais cette opération affecte d’autres spécialistes du marketing comme Curenergy. L’entreprise, Iberdrola paye pour apprendre.
Plusieurs procédures la concernant viennent de se clôturer. Pour violation de l’article 5.1.f du RGPD à l’article 83, paragraphe 5, du RGPD, une amende de 2,5 millions d’euros est infligée.
Auquel s’ajoute un autre million d’euros pour la violation de l’article 32 du RGPD, défini à l’article 83, paragraphe 4, du RGPD.
Mais le géant de l’électricité voit s’additionner 3 nouveaux millions d’euros après la résolution de procédures supplémentaires.
Dans ce dernier cas, les amendes sont d’un million (contrevenant à l’article 32 du RGPD, à l’article 83.5 du RGPD) et de 2 millions d’euros (une violation de l’article 5.1.f) du RGPD, définis à l’article 83.5 du RGPD).
La société avait déjà fait les frais d’amende au sujet du non-respect du règlement de protection des données.
À hauteur de 80 000 € le 14 février 2020, et 100 000 € le 3 février 2021. (Crédits : Erik Mclean/Pexels)
Il est également prévu une amende maximale de 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’année précédente, le montant le plus élevé étant retenu. Sauf que pour des entreprises qui ne communiquent pas leurs chiffres d’affaires, cela se complique.
Endesa s’offre la plus grosse amende
Si son concurrent espagnol Iderbrola voit une amende de 6,5 millions d’euros, elle correspond à plusieurs affaires. Endesa quant à elle se voit infliger la plus grosse amende pour une compagnie d’électricité. En une seule amende, Endesa est mis en demeure de régler 6,1 millions d’euros. Cela après la validation que quelqu’un vendait sur Facebook des codes d’accès à sa plateforme SalesFolder, explique Bandaancha.
Cette plateforme, ou base de données permet de consulter les données personnelles des clients. Mais également les points de livraison (PDL, CUPS en Espagne).
Les données personnelles de 4,8 millions de clients en électricité et de 1,2 million en gaz de la société Endesa ont pu être consultées par des tiers extérieurs à la société. L’AEPD explique l’ensemble sur 214 pages.
Ce qui occasionne des campagnes frauduleuses et malversations en tout genre.
Les propositions commerciales montrent patte blanche. Les données en leur possession permettent de connaître vos prénom et nom, et le fameux CUPS unique. Ainsi ils peuvent effectuer une migration de votre fournisseur d’électricité vers le leur.
(Crédits : bandaancha.eu)
Les données accessibles sont le prénom, le nom, le numéro de la carte d’identité, le numéro de téléphone, l’adresse électronique, l’adresse postale, le numéro de compte bancaire, le CUPS, la consommation, la facturation et l’en-cours. Encore mieux, l’obtention de données techniques sur 30,6 millions de points de fourniture en électricité et 8,6 millions pour le gaz auprès de n’importe quelle compagnie est possible.
La backdoor XZ et Andres Freund
Deux petites lettres qui ont un potentiel de destruction conséquent. Le 29 mars 2024, Andres Freund renifle un truc qui ne tourne pas rond, explique LeMagIT. Cette chose est capable de passer outre l’authentification SSH. Une backdoor installée par un certain JiaT75. « La backdoor se planque dans les fichiers de test bad-3-corrupt_lzma2.xz et good-large_compressed.lzma, et utilise un script appelé par build-to-host.m4 pour s’incruster dans le processus de build », relate Korben.
Ce qui est complètement ahurissant, c’est la méthode utilisée par cet individu. Depuis 2021, il s’intéresse et contribue à la bibliothèque XZ. Il finit par force de travail à obtenir la confiance, ce qui lui octroie des privilèges.
Par pression successive, Jia Tan accède à un degré de confiance qui lui permet de fusionner son propre code en janvier 2023. Il fait pression pour ajouter un autre mainteneur. En janvier 2024, la backdoor est finalisée, puis découverte en mars.
La réflexion posée sur l’open source est que des personnes donnent de leurs temps et de leurs talents pour aider, et résoudre des problèmes. Mais que comme toute équation, il tend avoir une limite mathématique.
(Crédits : Mantas Sinkevičius/Pexels)
Quand est-il du projet XZ ? Des questions se posent, beaucoup s’interrogent. Des retombées potentielles sur les projets open source ? Ce qui est sûr est que désormais la phrase de Vladimir Illicth Lénine prend encore plus de sens : « La confiance n’évite pas le contrôle ».
