Les données de recouvrement de la filiale suisse d’Intrum accessibles sans identifiants
La plateforme en ligne de la société de recouvrement Intrum a connu une faille de sécurité. Pendant près de trois semaines, les données personnelles des débiteurs, y compris les montants impayés et les poursuites, étaient consultables sans mot de passe. Intrum a corrigé la faille fin août.
Rares sont ceux qui aiment parler de leurs dettes et encore moins à des inconnus. C'est pourtant précisément sur ce sujet délicat que le magazine suisse de consommateurs Beobachter a mis au jour un désastre en matière de protection des données. En cause, Intrum, la plus grande société de recouvrement en Suisse. Son portail en ligne destiné aux débiteurs a présenté pendant des semaines une faille de sécurité.
Alors que les données y sont habituellement protégées par un nom d'utilisateur et un mot de passe, il était possible pendant cette période de consulter les informations en tapant simplement le numéro de client à sept chiffres et sans mot de passe. Des dizaines de milliers de comptes auraient ainsi pu être consultés. Le montant de toutes les dettes, une liste de toutes les poursuites, les factures et les données de compte des créanciers ainsi que les coordonnées des débiteurs pouvaient être consultés. Ces dernières auraient pu être modifiées, fait remarquer le Beobachter.
Aucun indice de violation systématique des données
Intrum a reconnu l’erreur auprès du magazine. La cause invoquée par l'entreprise est une mise à jour de logiciel. Jusqu'à la prise de contact par le Beobachter le 28 août 2023, l'entreprise n'avait pas connaissance de la faille. Intrum a tout de même réagi rapidement et a corrigé le problème en quelques heures. Sur son site web, Intrum écrit que la faille de sécurité a été active entre le 9 et le 29 août, soit pendant presque trois semaines. Durant cette période, 2469 tentatives de connexion ont été enregistrées, ce qui correspond au niveau normal d'activité de connexion. «Une analyse détaillée du trafic de données sur notre portail de clients n'a révélé aucun indice de violation systématique des données», écrit Intrum. L'entreprise se réfère à une analyse forensique à laquelle ont également participé des spécialistes externes. Les personnes concernées par les comptes consultés seront contactées de manière proactive afin de s'assurer qu'aucune tentative de connexion non autorisée n'a été effectuée.
