Des heures avant longtemps week-end de vacances aux États-Unis, le géant de l’électronique Samsung a annoncé que ses systèmes américains avaient été piratés un mois plus tôt par des pirates malveillants, qui sont entrés par effraction et se sont enfuis avec des tonnes d’informations personnelles sur un nombre indéterminé de ses clients.
La violation de données est probablement importante. Samsung est l’une des plus grandes entreprises technologiques avec des centaines de millions de propriétaires d’appareils – et d’utilisateurs – à travers le monde. Mais l’avis de violation de données mal expliqué de Samsung, associé à son retard inexpliqué dans la divulgation de la violation de données, a laissé les clients lire les feuilles de thé et sans une idée claire de ce qu’ils peuvent faire pour se protéger, le cas échéant.
TechCrunch a balisé et avis de violation de données annoté de Samsung 🖍️ avec notre analyse de ce que cela signifie – et de ce que Samsung laisse de côté.
Les porte-parole de Samsung, via la société de communication de crise Edelman, ont refusé de répondre aux questions que nous avons envoyées avant la publication, citant la “nature continue de notre coordination avec les forces de l’ordre”.
Ce que Samsung a dit dans son avis de violation de données
Samsung sait qu’un incident de sécurité est une violation de données
Tous les incidents de sécurité ne sont pas créés de la même manière. Les pirates malveillants ne volent pas toujours les données ; cela dépend de la configuration des systèmes et du réseau d’une entreprise et de la distance parcourue par les pirates. Dans ce cas, Samsung sait que les données ont été “acquises” 🖍️ — ou exfiltré — par les hackers.
N’oubliez pas qu’il ne s’agit que de la divulgation initiale de la violation. Samsung fournit le minimum de ce que l’entreprise a à vous dire. Le fait que des pirates aient accédé aux informations personnelles des clients montre soit que Samsung n’a pas protégé ces données aussi bien qu’il le devrait, soit que les pirates avaient un accès si profond au réseau de Samsung qu’ils ont pu accéder aux données des clients et vraisemblablement à d’autres fichiers très sensibles. Il s’agit également de la deuxième violation de données connue de Samsung cette année après que l’équipe de piratage de Lapsus$ ait volé le code source et d’autres documents internes confidentiels des systèmes de l’entreprise en mars, bien qu’aucune information client n’ait été prise.
Les informations personnelles des clients ont été volées
Samsung dit dans son avis de violation de données 🖍️ que les pirates “dans certains cas” ont pris les noms des clients, les informations de contact et démographiques, la date de naissance et les informations d’enregistrement du produit. Cela suggère que tous les clients Samsung ne sont pas concernés, mais cela pourrait également signifier que Samsung ne sait pas encore combien de données ont été volées lors de sa violation de données.
Les noms et dates de naissance sont des informations personnelles. Il est moins clair quelles autres données ont été volées, mais les indices se trouvent dans la politique de confidentialité.
Samsung avait précédemment déclaré à TechCrunch que les clients fournissaient des informations lors de l’enregistrement de leurs appareils pour accéder “au service et à l’assistance, aux informations sur la garantie, aux mises à jour logicielles et aux offres exclusives pour l’achat de futurs produits Samsung”. Ces données incluent le modèle du produit Samsung, la date d’achat et l’identifiant unique de l’appareil, tel qu’un numéro IMEI pour les téléphones et les identifiants publicitaires, ou les numéros de série pour d’autres appareils comme les téléviseurs intelligents.
Les identifiants uniques sont conçus pour être pseudonymes afin qu’en cas de violation de données, ces chaînes aléatoires de lettres et de chiffres ne soient pas d’une grande utilité. Mais les identifiants uniques ne sont pas entièrement anonymisés et peuvent être combinés avec d’autres données pour la publicité ciblée ou pour identifier les utilisateurs ou suivre l’activité en ligne de quelqu’un.
Les données démographiques incluent des données de géolocalisation précises
L’avis de violation de données de Samsung comprend une vague mention d'”informations démographiques” qui ont été volées par les pirates. Samsung dit qu’il collectionne ces informations démographiques non précisées 🖍️ pour “aider à offrir la meilleure expérience possible avec nos produits et services” – ou une autre façon de dire publicité ciblée.
La politique de confidentialité américaine de Samsung explique cela plus explicitement. « Les réseaux publicitaires nous permettent de cibler nos messages sur les utilisateurs en tenant compte des données démographiques, des intérêts déduits des utilisateurs et du contexte de navigation. Ces réseaux peuvent suivre les activités en ligne des utilisateurs au fil du temps en collectant des informations par des moyens automatisés, notamment grâce à l’utilisation de cookies de navigateur, de balises Web, de pixels, d’identifiants d’appareil, de journaux de serveur et d’autres technologies similaires.
Samsung a refusé de dire à TechCrunch quelles données spécifiques les “informations démographiques” incluent, mais il y a plus d’indices dans la politique de confidentialité distincte de l’entreprise pour la publicité, à laquelle elle renvoie dans l’avis de violation de données et explique ce que les informations démographiques incluent.
La liste est longue et vous devriez prendre le temps de la lire attentivement par vous-même. La version abrégée est que Samsung recueille des informations techniques sur votre téléphone ou un autre appareil, sur la façon dont vous utilisez votre appareil, comme les applications que vous avez installées et les sites Web que vous visitez, et la façon dont vous interagissez avec les publicités, qui sont utilisées par les annonceurs et les courtiers en données pour déduire des informations vous concernant. Les données peuvent également inclure vos « données de géolocalisation précises », qui peuvent être utilisées pour identifier où vous allez et qui vous rencontrez. Samsung dit qu’il recueille des informations sur ce que vous regardez sur ses téléviseurs intelligents, y compris les chaînes et les programmes que vous avez regardés.
Samsung indique également qu’il “peut obtenir d’autres données comportementales et démographiques à partir de sources de données tierces de confiance”, ce qui signifie que Samsung achète des données à d’autres sociétés et les combine avec ses propres magasins d’informations sur les clients pour en savoir plus sur vous, encore une fois pour la publicité ciblée. Samsung ne dirait pas de quelles sociétés, telles que les courtiers en données, il obtient ces données.
Mais ces mêmes données entre les mains de mauvais acteurs peuvent révéler beaucoup de choses sur une personne et ses habitudes en ligne.
Pourquoi Samsung ne dit-il rien de tout cela dans son avis de violation de données ? Bien que les données ne soient pas personnellement identifiables, elles sont toujours de nature personnelle car elles sont liées aux goûts, aux préférences et à notre activité dans le monde réel, c’est pourquoi les moindres détails de ce que des entreprises comme Samsung collectent à votre sujet sont souvent enfouis dans le des politiques de confidentialité que personne ne lit (et nous en sommes tous coupables).
Samsung a refusé de dire si des données provenant de tiers avaient été compromises lors de sa violation, mais n’a pas contesté nos caractérisations lorsque des porte-parole ont été contactés avant la publication.
Ce que Samsung ne dit pas dans son avis de violation de données
Samsung ne dira pas combien de clients sont concernés
Samsung a refusé de dire à TechCrunch combien de clients sont touchés par la violation. Il se peut que Samsung ne le sache pas, ce qui est peu probable puisqu’il a déjà envoyé un e-mail aux clients qui, selon lui, sont concernés. Ou, quoi de plus probable 🖍️est que le nombre de clients concernés est si important que Samsung ne veut pas que vous le sachiez car l’entreprise trouverait cela gênant.
Samsung compte des centaines de millions d’utilisateurs, mais indique rarement le nombre de ses clients. Même 1 % des clients concernés pourraient encore représenter des millions, voire des dizaines de millions d’utilisateurs concernés.
On ne sait pas pourquoi les numéros de sécurité sociale sont mentionnés
L’avis de violation de données note ostensiblement 🖍️ que la violation “n’a pas eu d’impact sur les numéros de sécurité sociale ou les numéros de cartes de crédit et de débit”. A priori rassurant, mais la formulation n’est pas claire. TechCrunch a demandé à Samsung s’il collectait et stockait les numéros de sécurité sociale et que ces données n’étaient pas affectées, mais la société a refusé de dire – seulement que le problème “n’avait pas d’impact” sur les numéros de sécurité sociale. Samsung collecte les numéros de sécurité sociale dans le cadre de ses options de financement et comme exigence pour les utilisateurs de Samsung Money.
Pourquoi a-t-il fallu un mois pour informer les clients ?
Regarder la chronologie de la brèche 🖍️, Samsung affirme que les pirates ont volé des données « fin juillet 2022 », ce qu’une lecture généreuse pourrait interpréter comme n’importe quel moment après la mi-juillet. Samsung pourrait divulguer la date — s’il la connaît. Il convient également de noter qu’il s’agit de la date à laquelle Samsung affirme que les données ont été exfiltrées de son réseau et que cela n’inclut pas le temps que les pirates ont passé dans les systèmes de Samsung avant d’être finalement découverts. Il a découvert l’exfiltration de données le 4 août, ce qui signifie que Samsung n’a pas su pendant des semaines que les données des clients avaient été volées.
Quant à divulguer la violation un mois plus tard, quelques heures seulement avant la fermeture des bureaux un vendredi avant un long week-end de vacances ? Eh bien, c’est juste une mauvaise communication.
Samsung a mis à jour sa politique de confidentialité en révélant sa violation
Le même jour, il a annoncé sa violation de données, Samsung a également poussé une nouvelle politique de confidentialité à ses utilisateurs. Grâce à un lecteur qui a alerté TechCrunch à ce sujet, la nouvelle politique stipule désormais explicitement 🖍️ que Samsung peut utiliser la “géolocalisation précise” d’un client à des fins de marketing et de publicité avec le consentement de l’utilisateur. La nouvelle politique précise également 🖍️ pendant combien de temps Samsung stocke les données que les utilisateurs partagent à partir de la fonction de partage rapide. Samsung dit qu’il peut “collecter le contenu que vous partagez, qui restera disponible pendant 3 jours”.
TechCrunch a demandé à Samsung comment il définit ce qu’il définit comme le consentement de l’utilisateur, mais un porte-parole n’a pas voulu le dire. Samsung n’a pas voulu dire pour quelle raison il avait poussé une nouvelle politique de confidentialité, mais a affirmé que la mise à jour n’était “pas liée” à l’incident et était initialement prévue.
Si vous en savez plus sur la violation de données de Samsung ou si vous travaillez chez Samsung, vous pouvez contacter cet auteur via Signal au +1 646.755.8849 ou via SecureDrop.