Cyberattaque chez Comparis : ce que les clientes et les clients doivent savoir

Le mercredi 7 juillet 2021 au matin, Comparis a été la cible d’une cyberattaque de type rançongiciel (ransomware). Le point sur ce qu’il s’est passé et sur les mesures que vous pouvez prendre.

1.	J’ai reçu un e-mail de Comparis avec des explications sur la cyberattaque du 7 juillet 2021. Ce message est-il vraiment de vous ou a-t-il été envoyé par des escrocs ?
2.	Que s’est-il passé ?
3.	Quelles données sont concernées ?
4.	Quelles mesures de protection ont été prises ?
5.	Que puis-je faire de mon côté ?
6.	Je ne parviens pas à modifier mon mot de passe. Comment faire ?
7.	J’ai reçu un appel d’une centrale téléphonique m’indiquant que le piratage des données me concerne et me proposant ses conseils. S’agit-il d’escrocs ? Que dois-je faire ?
8.	J’ai été contacté·e par une personne prétendant être agent d’assurance. Cette personne savait précisément quelle était ma caisse maladie et avait mes données. Cela est-il en lien avec la cyberattaque dont Comparis a été victime ?
9.	Pourquoi mes données sont-elles encore stockées par vous ?
10.	Comment puis-je vous joindre ?

J’ai reçu un e-mail de Comparis avec des explications sur la cyberattaque du 7 juillet 2021. Ce message est-il vraiment de vous ou a-t-il été envoyé par des escrocs ?

Les 14 et 15 juillet, Comparis a envoyé un e-mail d’information à ses utilisatrices et utilisateurs depuis les adresses privacy@email.comparis.ch, noreply@email.comparis.ch et noreply@email.optimatis.ch.

Que s’est-il passé ?

Le 7 juillet, le groupe Comparis a été la cible d’une cyberattaque perpétrée par des criminels particulièrement déterminés. Comparis a immédiatement mis en œuvre toutes les mesures nécessaires à la protection de toutes les données. Ainsi, dès les premiers signes de l’attaque, les systèmes informatiques ont été immédiatement mis à l’arrêt pour être redéployés dans un environnement sécurisé.

L’attaque de type rançongiciel (page disponible en allemand uniquement) a provoqué le blocage de plusieurs systèmes informatiques du groupe Comparis. Depuis, le site Internet comparis.ch a pu être rétabli et il est accessible normalement, en toute sécurité.

Nous sommes parvenus à un accord avec les maîtres chanteurs à la fin du mois de juillet. Cette mesure nous a permis de décrypter des fichiers essentiels à une partie de nos opérations, dont certains n'auraient pas pu être récupérés du tout et d'autres n'auraient pu l'être qu'au prix d'efforts longs et considérables.

Quelles données sont concernées ?

Malheureusement, des analyses détaillées montrent que les auteurs ont eu accès à des données internes du groupe Comparis concernant les clients.

Sont concernées les données client des comptes de Comparis et de ses sociétés sœurs. Les clientes et les clients possiblement affectés seront informés directement. Les mots de passe sont stockés sous forme de hash.

Quelles mesures de protection ont été prises ?

Nous prenons la situation très au sérieux. Nous avons immédiatement mis en œuvre toutes les mesures nécessaires à la protection de toutes les données. Ainsi, nous avons rétabli de zéro tous nos systèmes dans un environnement sécurisé. Le groupe Comparis a par ailleurs saisi les autorités de poursuite ainsi que le préposé fédéral à la protection des données et travaille en étroite collaboration avec leurs unités spécialisées en cybercriminalité. Une plainte contre inconnu a été déposée.

En raison de la nature de l'attaque, nous sommes désormais en mesure de penser qu'il ne s'agissait pas d'une attaque ciblée visant Comparis, mais de l'exploitation d'une vulnérabilité assez répandue. Nous avons maintenant identifié le point d'accès des pirates. Celui-ci a été bloqué immédiatement après la découverte de l'attaque par nos mesures de sécurité et est sécurisée de manière durable. Afin de réduire le risque d'attaques futures, nous continuerons à étendre et à renforcer nos mesures et nos dispositifs de sécurité.

Que puis-je faire de mon côté ?

Vous avez un compte chez nous ? Dans ce cas, nous vous recommandons urgemment de modifier votre mot de passe par mesure de précaution.

Si vos données sont affectées par cette attaque, nous ne pouvons malheureusement pas exclure qu’elles seront utilisées par des tiers à des fins commerciales ou frauduleuses. La police du canton de Zurich résume les principaux risques à cette adresse (page disponible en allemand uniquement). Nous vous recommandons de faire preuve de la plus grande vigilance si des tiers prennent contact avec vous et se présentent p. ex. comme des collaborateurs de banques ou de compagnies d’assurances disposant de certaines informations vous concernant. Si cela venait à se produire, merci de nous en informer afin que nous puissions aviser les autorités chargées de l’enquête.

Je ne parviens pas à modifier mon mot de passe. Comment faire ?

Si vous n’avez pas spécifiquement créé de compte sur Comparis, alors vous n’avez pas de mot de passe et pouvez ignorer cette étape. Si vous ne recevez aucun e-mail (ni dans votre boîte de réception, ni dans vos indésirables) après avoir demandé la réinitialisation de votre mot de passe, c’est sans doute que vous n’avez pas de compte chez nous. Attention : les utilisatrices et utilisateurs peuvent s’abonner à la newsletter ou créer une alerte mail sans avoir de compte. Autrement dit, même si vous supprimez votre compte, vous pourrez continuer à recevoir la newsletter ou de courriels sur les objets recherchés.

J’ai reçu un appel d’une centrale téléphonique m’indiquant que le piratage des données me concerne et me proposant ses conseils. S’agit-il d’escrocs ? Que dois-je faire ?

Les attaques de pirates informatiques profitent à ce genre d’organismes qui appellent de manière aléatoire. N’acceptez aucune proposition de cette nature et signalez l’incident au Centre national pour la cybersécurité. Pour le moment, nous estimons que ces appels ne sont pas ciblés et qu’ils ne résultent pas d’un éventuel vol de données.

J’ai été contacté·e par une personne prétendant être agent d’assurance. Cette personne savait précisément quelle était ma caisse maladie et avait mes données. Cela est-il en lien avec la cyberattaque dont Comparis a été victime ?

Les attaques de pirates informatiques profitent à ce genre d’organismes Certains courtiers peu sérieux détiennent parfois d’anciennes listes d'adresses contenant des informations liées à un démarchage commercial. Ces courtiers tentent d’exploiter l’incertitude provoquée par la situation actuelle. Dans ces cas-là, les numéros de téléphone mobile utilisés sont souvent faux et impossible à localiser. Nous vous recommandons d’ignorer ces tentatives et de bloquer le numéro de téléphone concerné.

Pourquoi mes données sont-elles encore stockées par vous ?

Dans le cadre des dispositions sur la protection des données, les adresses e-mail anciennes stockées dans nos systèmes centraux utilisés pour le marketing et pour la gestion des données clients, comme notre plateforme de gestion de la relation client (CRM), sont régulièrement désactivées, anonymisées ou supprimées. Les pirates n’ont pas eu accès à ces systèmes.

En plus de ces systèmes, il existe des répertoires dans lesquels des données notamment techniques (p. ex. des protocoles spécifiques) peuvent rester stockées plus longtemps. Ils sont susceptibles de contenir les adresses électroniques de certains utilisateurs. Celles-ci ne sont pas utilisées dans le cadre d’opérations commerciales et les équipes marketing et relation client n’y ont pas accès. Les analyses détaillées ont permis d’établir que les pirates auraient pu avoir accès à ces lecteurs. À ce stade, nous ne sommes pas en mesure de savoir précisément si des données ont été dérobées et si oui, lesquelles.

Par mesure de précaution et dans un souci de transparence, nous avons donc décidé d’informer le plus grand nombre de personnes possible, et ce même si la plupart d’entre elles ne seront probablement pas concernées. Compte tenu de cette situation exceptionnelle, nous avons récupéré les adresses anciennes, inutilisées et inactives, avant de les charger sur un volume distinct dans notre système marketing. Cela nous a permis d’envoyer un mail d’information à titre préventif. Nous avons bien entendu procédé à la suppression de ces données une fois les mesures de communication actuelles terminées. Depuis quelque temps déjà, nous travaillons au renforcement de la suppression des données. Ce processus nécessite toutefois des ajustements qui ne peuvent pas être mis en œuvre rapidement compte tenu de l’évolution de nos systèmes au fil des années, . Dans ce cas précis, la possibilité de récupérer d'anciennes adresses désactivées en urgence nous a été utile car cette opération n’aurait plus été envisageable si les ajustements en cours avaient été conclus. Nous avons estimé que prévenir les utilisatrices et les utilisateurs était plus important que les questions soulevées par l’utilisation de ces adresses e-mail anciennes.