NEW YORK / ÉTATS-UNIS
Ils reprochent à l’auctioneer de ne pas avoir mieux protégé leurs données. Mais rien ne dit qu’elles ont été piratées.
Conséquence inattendue de la cyberattaque qui a visé Christie’s au début du mois de mai. La maison de ventes fait l’objet d’une action collective en justice (« class action ») pour ne pas avoir réussi à sécuriser et à protéger les informations confidentielles de ses clients. L’assignation a été déposée, lundi 3 juin, devant le tribunal du district sud de New York.
Le groupe de pirates informatiques RansomHub avait menacé de divulguer les informations sensibles de certains clients d’ici le 31 mai, à moins que Christie’s ne verse une somme (non indiquée). Alors que la date d’échéance approchait, les pirates ont finalement mis aux enchères les données et affirment les avoir vendues depuis. Selon la plainte, ces informations comprendraient les noms complets, sexes, dates et lieux de naissance d’au moins 500 000 clients ainsi que des données issues de leurs passeports comme les numéros, dates d’expiration et pays de délivrance.
Les plaignants – le seul nommé étant Efstathios Maroulis, un résident de Dallas – ont qualifié la cyberattaque de « prévisible et évitable » et considèrent que la violation de leurs données est « le résultat direct de l’incapacité de Christie’s à mettre en œuvre des procédures et des protocoles de cybersécurité adéquats pour protéger les informations personnelles des clients ». Ils accusent également la maison de la famille Pinault de n’avoir donné aucune précision quant à la nature, la date et les auteurs de la cyberattaque dans le courriel qu’elle a envoyé à tous les clients concernés le 30 mai. Les plaignants réclament des dommages et intérêts, pour un montant à déterminer lors d’un procès devant jury.
Christie’s affirme se conformer au Règlement général sur la protection des données (RGPD). Un porte-parole a indiqué à Artnet que le communiqué de RansomHub à propos de la vente des données n’était « pas encore vérifié » et qu’il n’y a toujours « aucune preuve que des documents financiers ou transactionnels ou des copies de documents, signatures ou photographies aient été prises ».
L’accès à la totalité de l’article est réservé à nos abonné(e)s
Cyberattaque, Christie’s poursuivi par certains de ses clients
Déjà abonné(e) ?
Se connecterPas encore abonné(e) ?
Avec notre offre sans engagement,
• Accédez à tous les contenus du site
• Soutenez une rédaction indépendante
• Recevez la newsletter quotidienne
Abonnez-vous dès 1 €