L'opérateur britannique a confirmé que des RIB entiers et des numéros partiels de cartes bancaires avaient été accédés en clair sur ses serveurs, mais il se défend en prétendant que la loi n'oblige pas à les chiffrer.

C’est pas notre faute, c’est la loi qui ne nous disait pas comment faire notre métier. Voilà en substance l’étonnante défense présentée dimanche dans le Sunday Times par Dido Harding, la PDG de l’opérateur TalkTalk qui a dû reconnaître la semaine dernière le piratage de données bancaires de ses clients.

Les données sensibles des clients de l’opérateur britannique « n’étaient pas chiffrées » mais « vous n’avez aucune obligation légale de les chiffrer » a-t-elle expliqué au quotidien britannique, selon les propos rapportés par The Register. Si des données bancaires ont pu être interceptées en clair sur les serveurs de TalkTalk, ce ne serait donc pas la faute de l’opérateur mais celle des hackers.

« Nous nous sommes conformés à toutes nos obligations juridiques en terme de stockage des informations financières ».

Pas de numéro de carte bancaire entièrement visible

Une position étrange que Harding croit pouvoir tirer de la loi britannique sur la protection des données personnelles, qui ne demande pas explicitement le chiffrement des données bancaires. Mais comme toute législation sur le sujet dans l’Union européenne, la loi britannique impose néanmoins un devoir général de sécurisation, et demande que les entreprises prennent toutes les « mesures techniques et organisationnelles appropriées » pour éviter l’accès à des informations qu’elles détiennent sur leurs clients. Ces mesures doivent être d’autant plus sérieuses sur des données sensibles telles que des numéros de comptes ou de cartes bancaires.

Samedi, TalkTalk a par ailleurs envoyé un e-mail à tous ses clients pour tenter de les rassurer. « Le nombre de clients concernés et le volume de données potentiellement volées est plus petit que cru à l’origine », écrit ainsi l’opérateur dans un courriel transmis à Numerama par un client de l’opérateur.

Il y est précisé que les numéros de carte bancaires ne sont pas visibles dans leur intégralité, une série de 6 chiffres sur 16 étant masquée dans ses bases. En revanche, TalkTalk confirme que des RIB étaient bien stockés en clair et dans leur intégralité, mais il estime que le risque de contournement est minime.

Conscient que le message n’est toutefois pas rassurant pour tout le monde, TalkTalk annonce s’être associé avec la société Noddle pour fournir gratuitement pendant 1 an un service de surveillance d’anomalies sur l’activité des comptes bancaires.

Le message de Dido Harding aux abonnés :

Partager sur les réseaux sociaux

Articles liés