New York vit une série de piratages informatiques qui met à mal des millions d’habitants et étudiants de la Grosse Pomme. Nouveau cas aprés l’Université de New-York, une faille de sécurité dans le système de devis de Root. Une cyber attaque vieille de plusieurs mois qui a permis à des pirates d’accéder aux informations personnelles de 45 000 New-Yorkais. L’entreprise vient d’être condamnée à une forte amende.
L’entreprise d’assurance automobile Root, qui ne propose pas de services à New York, a néanmoins permis à des cybercriminels d’exploiter une faille dans son système de devis en ligne, entraînant la fuite de numéros de permis de conduire et d’autres informations sensibles. Cette attaque s’inscrit dans une série d’incidents similaires ayant ciblé le secteur de l’assurance, exposant des milliers de clients à des risques de vol d’identité.
Une faille de sécurité massive exploitée par des cybercriminels
Root permettait aux consommateurs d’obtenir une estimation de prix pour une assurance automobile via son site internet. Le système de devis utilisait une fonction de pré remplissage qui complétait automatiquement certains champs avec des informations sensibles, y compris les numéros de permis de conduire. Une fois le devis généré, le système créait un fichier PDF contenant les informations du client, y compris le numéro de permis de conduire en texte brut. Cette faille a permis à des cybercriminels d’automatiser le processus de collecte de données en utilisant des bots.
En janvier 2021, Root a découvert que des acteurs malveillants exploitaient cette vulnérabilité pour collecter massivement des informations personnelles. Les pirates ont utilisé ces données pour déposer des demandes frauduleuses de prestations de chômage pendant la pandémie de COVID-19. L’enquête du Bureau de la procureure générale (OAG) a révélé que Root n’avait pas mis en place de mesures de sécurité adéquates pour empêcher l’accès automatisé par des bots. L’entreprise n’a pas non plus identifié la vulnérabilité de son système de préremplissage ni sécurisé les fichiers PDF générés par le système.
La procureure générale Letitia James a déclaré que l’incapacité de Root à protéger ces informations sensibles représentait une violation grave des normes de sécurité des données. Elle a souligné que cette négligence avait directement exposé des milliers de New-Yorkais à des risques de vol d’identité. Selon l’enquête, Root n’avait pas effectué de contrôles de sécurité réguliers sur son système, ni mis en place de protocoles pour détecter et bloquer les attaques automatisées.
Une sanction financière et des mesures de sécurité renforcées
En plus de l’amende de 975 000 dollars, Root a accepté de mettre en place une série de mesures pour renforcer la sécurité de ses systèmes. L’entreprise devra mettre en place un programme de sécurité complet pour garantir la protection des informations sensibles de ses clients. Elle devra également surveiller en permanence les accès à ses systèmes et mettre en place un protocole d’alerte pour signaler toute activité suspecte. Root s’est engagée à renforcer ses procédures d’authentification et à effectuer régulièrement des audits de sécurité pour identifier et corriger les vulnérabilités potentielles.
Il aura fallu une condamnation pour que l’entreprise se penche sur la base de sa cybersécurité ? Les compagnies d’assurance collectent une quantité massive de données sensibles et doivent assumer la responsabilité de protéger ces informations contre les cybermenaces.
Une série de mesures contre le secteur de l’assurance
Cette amende s’inscrit dans une série d’actions menées par le bureau de la procureure générale contre le secteur de l’assurance. En novembre 2024, GEICO et Travelers avaient accepté de payer 5,1 millions de dollars après avoir été accusées d’avoir laissé des failles dans leurs systèmes de sécurité, facilitant le vol d’informations personnelles de milliers de New-Yorkais. En décembre 2024, Noblr a conclu un accord de 500 000 dollars avec le bureau de la procureure générale après avoir été accusée de pratiques de sécurité insuffisantes. En mars 2025, Letitia James a également engagé des poursuites contre Allstate Insurance, accusée d’avoir compromis les informations de plus de 165 000 clients à cause de failles de sécurité dans son système en ligne.
Letitia James s’est imposée comme une figure clé dans la protection de la vie privée des New-Yorkais face aux cybermenaces. Son bureau a également pris des mesures dans d’autres secteurs. En octobre 2024, un accord de 2,25 millions de dollars a été obtenu auprès d’un prestataire de soins de santé pour une fuite de données médicales. En août 2024, une coalition multirégionale dirigée par Letitia James a obtenu 4,5 millions de dollars d’une société de biotechnologie pour avoir échoué à protéger les données sensibles des patients. En juillet 2024, le bureau de la procureure générale a lancé deux guides sur la protection de la vie privée en ligne pour aider les entreprises et les consommateurs à mieux gérer la confidentialité de leurs données.
