La cybercriminalité s’engouffre dans les failles du RGPD

Les nouvelles lois de protection de données de l’UE risquent d’entrainer une hausse de la cyber-extorsion, alerte un rapport de l’agence européenne de police criminelle

L’étude d’Europol est un gros coup porté à la loi européenne sur la protection des données personnelles, plus connue sous le nom de RGDP.

Les entreprises victimes de piratage informatique des données personnelles de leurs utilisateurs doivent, selon le nouveau règlement RGDP, en informer les autorités compétentes. Mais elles préfèrent payer des pirates qui dissimuleront le piratage dont elles ont été victimes.

C’est ce que montre la cinquième évaluation de la menace que représente la criminalité organisée sur l’Internet (IOCTA), présentée lors d’une conférence Interpol/Europol sur la cybercriminalité à Singapour.

En vertu du RGPD entré en vigueur en mai dernier, les violations sont passibles d’amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires, ce qui est encore plus élevé.

La recherche d’Europol lève donc le voile sur le fait que les entreprises seraient plus enclines à payer des frais d’extorsion moindres aux pirates.

« Les entreprises piratées préfèrent payer une rançon moins élevée aux pirates pour ne pas divulguer le piratage plutôt que d’avoir à payer une lourde amende imposée par l’autorité compétente », dévoile le rapport.

Europol continue en avertissant que si de telles entreprises négocient avec des cybercriminels, « elles ne font que financer d’autres attaques et d’autres activités criminelles », et que l’organisation menacée n’a aucune garantie que « le pirate ne divulguera ou n’exploitera pas l’information. »

Un porte-parole d’Europol a déclaré à Euractiv que l’agence était parvenue à ces conclusions grâce aux réponses à une enquête qu’Europol avait envoyée à des partenaires privés.

L’enquête et les « partenaires privés » qui y ont participé n’ont pu être divulgués. Un responsable de la Commission européenne a également informé qu’ils n’avaient pas été consultés sur l’enquête en question.

Néanmoins, les affirmations d’Europol ne manqueront pas de susciter l’inquiétude de la Commission, qui a réagi avec fermeté au rapport.

« Le RGPD comporte une obligation claire pour les entreprises de notifier les atteintes à la protection des données », a déclaré un responsable de la Commission à Euractiv.

« L’application des règles de protection des données relève de la responsabilité des autorités compétentes. Celles-ci doivent évaluer un certain nombre de critères lorsqu’elles infligent une amende. L’un de ces critères est la bonne coopération de l’entreprise avec les autorités, y compris l’information donnée sur les violations de données. »

La critique d’Europol à l’égard du RGPD va plus loin que de souligner les lacunes en matière de respect des règles. Le rapport souligne aussi les implications techniques que le GDPR a eues sur le contrôle de la cybersécurité sur l’ensemble du continent.

Les critiques portent sur le fonctionnement de WHOIS, une base de données en ligne associée aux noms de domaine enregistrés. Europol affirme que le règlement de l’UE en matière de protection des données a des « répercussions paralysantes pour les enquêtes sur la cybercriminalité », dans le cadre du WHOIS.

Après l’entrée en vigueur du RGPD, le conseil d’administration de l’Internet Corporation for Assigned Name and Numbers (ICANN) a établi des exigences temporaires pour que les registres et les bureaux d’enregistrement suppriment toutes les données personnelles des enregistrements WHOIS accessibles au public.

Europol affirme que cette nécessité « entrave considérablement la capacité des enquêteurs du monde entier d’identifier et d’enquêter sur la criminalité en ligne », puisqu’ils n’ont plus accès librement aux fichiers de données qui auraient été utiles aux enquêtes auparavant.

Facebook et Google visés par les premières plaintes pour non-respect du RGPD

Dès l’entrée en vigueur du nouveau règlement européen sur la protection des données, des plaintes ont visé les grandes entreprises tech américaines et leur gestion des données.

L’étude survient à un moment où les interrogations se multiplient sur l’efficacité des mesures punitives en cas de non-conformité.

Lors de la conférence sur la cybersécurité de la Confédération de l’industrie britannique qui s’est tenue à Londres le 12 septembre, James Dipple-Johnstone, commissaire adjoint aux opérations de l’autorité britannique chargée des droits à l’information, a reconnu que le Royaume-Uni « n’a pas infligé d’amendes pour les violations du nouveau règlement », même si le nombre de rapports mensuels sur les violations de données a augmenté rapidement depuis le lancement de RGPD, atteignant 500 appels par semaine.

James Dipple-Johnstone explique qu’une grande partie des activités malveillantes en ligne sont souvent réglées avec « des conseils, des directives et des assurances » plutôt qu’avec des amendes des autorités britanniques.

Alors que l’étude d’Europol est en train d’être digérée par les décideurs politiques à Bruxelles, des questions ne manqueront pas de surgir quant au non-respect du RGPD.

Les services policiers européens ont également attiré l’attention sur la vulnérabilité en général des citoyens et des entreprises dans l’UE.

L’utilisation de logiciels rançonneurs et les attaques par déni de service distribué (DDoS) sont devenues des éléments centraux de la criminalité en ligne, les logiciels malveillants mobiles devraient augmenter à mesure que les utilisateurs passent des services bancaires en ligne aux services bancaires mobiles.

Dans son évaluation, Catherine De Bolle, directrice exécutive d’Europol, estime que les évolutions législatives sur le continent « ont un impact sur notre capacité en tant qu’agents des services policiers à enquêter efficacement sur la cybercriminalité ».

« Cela met l’accent sur la nécessité pour les organismes d’application de la loi de collaborer avec les décideurs, les législateurs et l’industrie afin d’avoir leur mot à dire sur la manière dont notre société évolue », conclut-elle.

Subscribe to our newsletters

Subscribe