L'enquête de la CNPD va déterminer, entre autres, la solidité de l'encryptage des mots de passe. (Photo: archives/paperJam)

L'enquête de la CNPD va déterminer, entre autres, la solidité de l'encryptage des mots de passe. (Photo: archives/paperJam)

Parallèlement à la présentation de son rapport d'activité 2013, la Commission nationale de protection des données a annoncé ouvrir une enquête sur la cyberattaque dont le site du géant de la vente aux enchères en ligne, eBay a été victime.

«La Commission nationale pour la protection des données a décidé d’agir suite au communiqué public de la société eBay annonçant qu’elle a été victime d’une attaque informatique qui a compromis la base de données de ses clients», indique un communiqué de l’autorité luxembourgeoise.

eBay a son quartier général européen au Luxembourg et il appartient donc à la CNPD de mener et diriger les investigations au niveau européen, notamment pour déterminer si les mesures de protection suffisantes avaient été prises pour protéger les données de ses clients. «Les comptes d’utilisateurs des clients de l’UE sont contractuellement liés à la société eBay Europe Sàrl établie au Luxembourg», précise la CNPD dans le communiqué.
Sa procédure d’investigation examinera «les circonstances et conséquences de la violation de l’intégrité et de la confidentialité des informations personnelles des utilisateurs d’eBay».

Consolider la CNPD

Contacté par paperJam.lu, Gérard Lommel, le président de la CNPD, a indiqué que «l’attaque de la banque de données internationale d’eBay était un désastre pour la protection des données au niveau mondial» et que l’enquête dont il était chargé était un «lourd fardeau» pour une petite autorité comme la sienne. L’occasion pour Gérard Lommel de rappeler, d'abord, l’utilité de ses services et ensuite et surtout la nécessité de «conforter et consolider» la CNPD. «Nous allons vérifier, à partir des plateformes des centres de données d’eBay répartis à travers le monde, quelle force d’encryptage avaient les mots de passe des utilisateurs ainsi que la robustesse des procédures internes de sécurité», a souligné M. Lommel.

Une première réunion préliminaire d’explications est intervenue mercredi 21 mai entre les responsable d’eBay Usa et Europe et la CNPD. Gérard Lommel a par ailleurs indiqué que des discussions étaient en cours avec l’autorité britannique de protection des données pour assister la CNPD dans son enquête.

Mercredi 21 mai, le site institutionnel d’eBay avait demandé à ses utilisateurs de changer de mot de passe après avoir été victime d’une cyberattaque ayant conduit au vol de données de ses clients. eBay comptait 145 millions d’utilisateurs à la fin du premier trimestre 2014, soit autant de victimes potentielles de l’attaque de sa base de données.