Cyberattaque: des données très privées de clients du courtier Cafpi ont été dérobées

Spécialiste du courtage et du rachat de crédits, la société Cafpi a été victime d'une cyberattaque. D'après le site spécialisé Zataz, de nombreuses données personnelles ont été subtilisées par les pirates informatiques du groupe VICE Society. Cafpi précise à Tech&Co que l'attaque a eu lieu le 30 avril dernier. Les pirates ont réussi une intrusion et ont pu accéder aux systèmes pendant plusieurs heures.

La société de courtage souligne toutefois avoir réussi à mettre en place rapidement des mesures de protection afin de bloquer les systèmes, avant de les restaurer et de les remettre en fonctionnement.

Nombre de données volées incertain

Sur son site, l'entreprise annonce avoir notifié l'incident auprès de la Cnil et tente aujourd'hui de guider ses clients. Auprès de Tech&Co, Cafpi indique avoir mis en place quatre centre d'appels pour épauler les clients lesés ainsi qu'une foire aux questions et une adresse mail pour les aider.

Cafpi a procédé à l'envoi de mails d'alerte auprès de ses clients ce mardi 23 mai. L'expert en crédit y précise que la confidentialité des données transmises par ses clients a été compromise. Ainsi, des cartes d'identités et des coordonnées de contact (nom, prénom, adresse mail), mais aussi des informations transmises dans le cadre d'une demande de financement ont été pillées par les cybercriminels. Ce qui pourrait inclure des fiches de paie ou des relevés bancaires. Cafpi note cependant ne pas être connaître l'étendue et le volume exacts de données récoltées.

De son côté, le site spécialisé Zataz a pu identifier des pièces d'identité et des dizaines de milliers de documents sur le web. Y figurent des accords de crédit, des demandes de prêts, des avis de notaires, mais aussi des informations relatives à la direction générale, le comité d'entreprise ou les ressources humaines de Cafpi.

Ce type d'informations personnelles peut être utilisé à des fins de détournement d'identité, notamment afin de contracter des crédits sous un faux nom.

Pas d'informations précises pour l'instant

D'après le règlement général de la protection des données (RGPD), chaque personne touchée par une fuite de données doit être prévenue individuellement par l'entité n'ayant pas pu protéger ces informations.

Cafpi précise toutefois à Tech&Co que pour le moment, l'expertise est toujours en cours et que la société ne possède à l'heure actuelle toujours pas les informations précises pour chaque client.

"Nous apportons pour le moment un soutien et un accompagnement auprès de nos clients et nous enverrons bien sûr plus de détails concernant la perte de données de chacun quand nous aurons les informations", indique Caroline Arnould, directrice du développement de Cafpi, à Tech&Co.

Le site spécialisé Zataz pointe également l'absence de chiffrement pour empêcher l'acquisition puis la diffusion des données personnelles compromises. Interrogée sur ce sujet par Tech&Co, Cafpi a fait savoir que pour des raisons de confidentialité et pour éviter toute récidive des hackers, ce type d'informations ne pouvait être dévoilé. L'entreprise a également fait savoir qu'en plus de l'expertise en cours, une plainte avait aussi été déposée auprès du Procureur de la République.