De quoi on parle. C’est le magazine alémanique Republik qui a révélé l’information: les relevés de carte bancaire mensuels de milliers de clients commerciaux du prestataire Viseca étaient facilement accessibles en ligne entre juin 2021 et novembre 2022.
Viseca gère les cartes de crédit de toutes les banques cantonales, de la Banque Cler, du groupe Raiffeisen ainsi que de certaines banques régionales, privées et commerciales.
Ce qui fait du prestataire l’un des six plus importants fournisseurs de cartes de crédit en Suisse.
Un informaticien d’une entreprise de cybersécurité a découvert la faille et l’a communiquée à Viseca, qui l’a corrigée en moins d’une semaine. Le fournisseur de cartes de crédit affirme qu’aucune consultation indue n’a eu lieu, en dehors de la société de cybersécurité qui a découvert la vulnérabilité.
La faille. En l’occurrence, c’est le logiciel qui permet de gérer les relevés de cartes de crédit qui était à l’origine de la faille. L’outil, intitulé eXpense et utilisé par Viseca, est fourni par l’entreprise américaine Fiserv. Concrètement, il suffisait de modifier quelques chiffres dans l’adresse web d’eXpense pour pouvoir consulter des PDF qui n’auraient pas dû être accessibles. De telles failles sont courantes dans ce type de logiciels.
En principe, l’intégration d’un tel logiciel doit faire l’objet d’un contrôle de sécurité. Une telle démarche aurait probablement permis de découvrir la vulnérabilité plus rapidement.
C’est d’autant plus vrai que le géant américain Fiserv a déjà connu des problèmes de sécurité par le passé: une coopérative de crédit de Pennsylvanie a mené une action en justice contre l’entreprise pour des failles jugées «grossières». Une autre vulnérabilité aurait pu exposer les informations de tous ses clients, mais a heureusement été découverte à temps par un chercheur.
Le porte-parole de Viseca, cité par Republik, affirme:
«Nous effectuons régulièrement des tests de sécurité automatisés pour eXpense. Mais il n’existe jamais une certitude absolue quant à l’absence de faille dans une application.»
Les données concernées. Les relevés bancaires consultés par Republik contenaient systématiquement l’adresse de l’entreprise, sa banque, le numéro de compte de la carte, le numéro de carte de crédit partiellement caché, les noms de tous ses titulaires, la limite de la carte et enfin le type de carte. Dans certains cas, des transactions étaient visibles, ainsi que la personne qui les effectuait.
Pas de communication prévue. Les entreprises qui possèdent des cartes de crédit fournies par Viseca ne seront pas informées que leurs relevés mensuels étaient accessibles si facilement pendant 18 mois. Contacté par Heidi.news, le fournisseur de cartes de crédit confirme qu’aucune communication publique n’est prévue. Son porte-parole précise:
«La société de cybersécurité qui a découvert la faille a consulté les documents d’une poignée d’entreprises. Celles-ci ont été informées par nos soins. Nos recherches ont permis de conclure qu’aucun autre client n’a été affecté.»
Viseca a par ailleurs informé les banques à qui elle fournit ses cartes de crédit. Sollicitée par Heidi.news, la Banque cantonale de Genève (BCGE) renvoie d’ailleurs vers la communication qu’elle a reçue de part de son prestataire:
«A ce jour, nous pouvons vous certifier que, malgré des investigations intensives, nous n’avons découvert aucun élément indiquant une utilisation abusive de la faille par des tiers. De même, nous pouvons vous confirmer par la présente qu’à la connaissance de Viseca, aucun client de vos banques n’est concerné.»
De son côté, la Banque cantonale du Valais (BCVs) «invite» Heidi.news à s’adresser au fournisseur de cartes de crédit, «seul habilité à fournir des informations à ce sujet». Pour sa part, la Banque cantonale vaudoise (BCV) précise:
«De manière générale, la sécurité informatique est prise très au sérieux par la [BCV], qui déploie des moyens importants dans ce domaine. Dans le cas [présent], en l’absence de fuite de données connue à ce jour chez le prestataire, il n’y a pas eu d’information.»
Pas d’obligation légale. François Charlet, juriste spécialisé dans la protection des données, rappelle que Viseca n’a actuellement aucune obligation légale d’informer ses clients en vertu de la législation sur la protection des données. «Seule une clause contractuelle pourrait l’y contraindre», souligne-t-il.
Même analyse chez Sylvain Métille, professeur associé à l'Université de Lausanne et avocat spécialiste du droit à la protection des données:
«Il n’y a aujourd’hui pas d’obligation d’annoncer une violation de la sécurité des données personnelles. Avec la loi de protection des données révisée, le responsable du traitement devra annoncer au préposé fédéral les cas de violation de la sécurité des données uniquement s’il est vraisemblable qu’elles entraînent un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Une information à cette dernière n’est prévue que si cela est nécessaire à sa protection.»
Une obligation morale? L’absence d’obligation légale justifie-t-elle pour autant la volonté de ne pas communiquer?
Sylvain Métille (UNIL), qui précise qu’il s’exprime dans le cas général:
«Si on peut considérer qu’une information large est positive pour les personnes concernées, il faut aussi éviter une fatigue et réserver l’information à des situations pour lesquelles une information est utile. Si une personne reçoit tous les jours des annonces de violation, elle n’y porterait plus intérêt et risque de ne pas réagir quand cela serait utile.
Actuellement, on ne s’attend pas à ce qu’une entreprise informe tous ses clients parce qu’une porte de ses bureaux n’a pas été fermée correctement durant la nuit, à tout le moins s’il est vraisemblable que personne ne s’est introduit dans les locaux.»
Sur le cas Viseca, François Charlet se veut plus critique:
«Je pense qu’il faut faire preuve de transparence en de pareilles circonstances. Le fait que des données aient été exposées durant une longue période mériterait que les entreprises concernées soient informées. Elles pourraient ainsi prévenir leurs collaborateurs qui pourraient redoubler de vigilance face par exemple à des tentatives d’hameçonnage (phishing).»
Le juriste estime que ces données exposent moins l’entreprise que les personnes qui détiennent les cartes de crédit:
«Les paiements par cartes de crédit révèlent rarement des relations d’affaires usuelles de l'entreprise. En revanche, ils peuvent en dire davantage sur les titulaires, et ces informations peuvent être utilisées pour du chantage ou des arnaques au président.»