« Le PSG victime d’une cyberattaque, la billetterie en ligne du club touchée ». En Israël les milieux sportifs et du cyber se sont intéressés à cette cyberattaque inhabituelle.
Le PSG a t-il déjà fait appel aux experts israéliens du cyber pour résoudre le problème? IsraelValley n’a pas pu le savoir. L’industrie israélienne de la cyber-sécurité comprend 522 start-ups et entreprises, dont 276 en phase de démarrage, 125 en phase de recherche et de développement, et 96 des entreprises en phase de croissance générant un chiffre d’affaires de 10 millions de dollars ou plus.
Souhaitons au PSG que ce ne soit pas le début des mauvaises nouvelles. Car le mercredi 3 avril 2024, la direction des systèmes d’information (DSI) du club de la capitale a subi une attaque informatique sur sa billetterie en ligne. Si la faille a été résolue, le Paris Saint-Germain a bien confirmé, dans un communiqué, une violation de données, certaines plus ou moins sensibles. Alors que s’est-il passé et que faut-il en retenir ?
Un accès potentiel aux données personnelles des clients de la billetterie du PSG
Le 3 avril donc, les équipes informatiques du PSG ont eu vent de tentatives d’accès inhabituelles sur leur système de billetterie. Elles ont alors détecté une faille qui, selon le club, a été résolue en moins de 24 heures. Rapidement, des mesures de sécurité supplémentaires ont été mises en oeuvre.
Si le PSG précise que rien n’indique que des données ont pu être collectées et exploitées par des pirates informatiques ou autres individus malveillants, il confirme tout de même la violation de données. Le champion de France en titre de football appelle tous les supporters à faire preuve de vigilance dans les prochains SMS ou courriers électroniques en lien avec le club qu’ils pourront ouvrir.
Là où le ou les pirates ont pu pénétrer, ils ont pu potentiellement avoir accès à des données d’identité comme les nom, prénom(s), adresses postale et e-mail, date de naissance, statut du compte et numéro de mobile. Les numéros IBAN font aussi partie du jeu de données, mais les trois derniers chiffres seulement étaient visibles.
Le PSG dans les clous de la réglementation en matière de violation de données
Outre le renforcement des mesures de sécurité, le club a aussi, par précaution, renouvelé les identifiants des cartes cadeaux, qui étaient aussi accessibles aux pirates. Quant au respect de la réglementation européenne sur la question, le fameux RGPD, le PSG indique avoir notifié la violation à la CNIL, le gendarme des données, dès le vendredi 5 avril. Le club est donc dans les clous, puisque le RGPD impose un signalement au plus tard dans les 72 heures après la constatation de la violation.
Clément Domingo, aka SaxX, rappelle que les billetteries de site internet sont régulièrement la cible de pirates informatiques. « On peut trouver plusieurs failles de sécurité allant du simple fait d’acheter presque gratuitement un billet au fait que l’on puisse accéder aux données des autres utilisateurs de la plateforme », ajoute le hacker éthique, qui avait déniché plusieurs failles dans la billetterie de la Coupe d’Afrique des Nations 2024″.