Des hackers menacent de dévoiler des informations sur les très riches clients de Christie's

Quelques jours avant ses très attendues ventes aux enchères du printemps, la maison de ventes Christie's a été victime d'une cyberattaque. En effet, le 9 mai dernier, la société a été contrainte de débrancher son site web pour "un problème de sécurité informatique".

"Un problème de sécurité a touché certains de nos systèmes informatiques, y compris notre site internet", a indiqué Christie’s dans un communiqué.

Le site internet est resté paralysé pendant plusieurs jours. Il affichait une page d’accueil qui redirigeait vers un autre site temporaire, permettant aux internautes de consulter les catalogues en ligne des ventes. La maison de la famille Pinault a ainsi été obligée de recourir à des alternatives pour maintenir les enchères en ligne, comme l'envoi de liens sécurisés.

Compte à rebours fin mai

Ce lundi 27 mai, le groupe de hackers RansomHub a revendiqué la cyberattaque, selon les informations relayées par le New York Times. Les pirates ont déclaré avoir eu accès à des informations sensibles sur les collectionneurs d'art les plus riches du monde, en publiant quelques exemples de noms et de dates de naissance. Les données financières et les adresses des clients pourrraient également avoir été récupérées par les pirates, mais aucune information n'a été officiellement confirmée.

"Le groupe à l’origine de l’incident a récupéré une quantité limitée de données personnelles relatives à certains de nos clients", assure un porte-parole de Christie's. Il n’y a aucune preuve que des enregistrements financiers ou transactionnels aient été compromis."

Christie's a refusé de payer la rançon exigée par le groupe de hackers. Résultat, RansomHub a annoncé qu'il publierait les données des clients, en affichant un compte à rebours qui atteindrait zéro d'ici la fin mai.

Non-respect du RGPD?

"Nous avons tenté de parvenir à une solution raisonnable avec eux (Christie's, ndlr), mais ils ont cessé de communiquer à mi-chemin", expliquent les pirates dans un message en ligne.

"Il est clair que si ces informations sont publiées, ils encourront de lourdes amendes en vertu du RGPD (le règlement général sur la protection des données, ndlr) et ruineront leur réputation auprès de leurs clients."

En effet, cette loi européenne oblige les entreprises à informer leurs clients lorsque leurs données ont été compromises. Le non-respect du RGPD peut entraîner des amendes pouvant atteindre plus de 20 millions de dollars.

Depuis, le porte-parole de la maison d'enchères a déclaré que "Christie's est en train d'informer les régulateurs de la vie privée et les agences gouvernementales" de l'incident et "communiquera sous peu avec les clients concernés".

Ce n'est pas la première fois que Christie's est victime d'une cyberattaque. En août dernier, la maison a été victime d'une violation de données, qui a permis de divulguer l'emplacement d'œuvres d'art détenues par certains des collectionneurs les plus riches du monde.