Communiqué de la Ville de Mitry-Mory, mardi 9 juillet –
À la date du 28 juin 2024, notre prestataire éditeur d’une solution logicielle de billetterie nous a informé avoir subi un incident de sécurité informatique.
Notre prestataire a subi une attaque informatique ayant permis de subtiliser des identifiants d’accès à un serveur de production, et ayant pour conséquence une perte de confidentialité des données présentes sur le serveur concerné.
Si cet incident de sécurité est désormais clos, certaines de vos données à caractère personnel ont potentiellement été impactées par cet acte malveillant.
Les données personnelles concernées sont les suivantes : votre nom ; votre prénom ; votre adresse email ; votre numéro de téléphone portable ou fixe ; votre adresse postale (pas de fuite ni d’impact sur vos coordonnées bancaires)
En outre, et uniquement si vous avez créé un compte client sur l’espace de vente en ligne de billets, votre mot de passe utilisé pour la connexion a également pu être compromis. À l’heure actuelle, un attaquant ne peut plus utiliser votre mot de passe puisqu’une réinitialisation de sécurité a été réalisée suite à la découverte de l’incident.
Dans un premier temps, nous tenons à vous présenter nos excuses pour ce désagrément : nous sommes actuellement en train de déployer les mesures techniques et juridiques nécessaires.
Nous avons procédé à une notification de cet incident auprès de la Commission nationale de l’informatique et des libertés (CNIL) conformément aux dispositions réglementaires applicables.
Concernant les conséquences probables de la violation, vos données à caractère personnel sont susceptibles d’être potentiellement utilisées à des fins malveillantes, et notamment afin de réaliser des tentatives d’attaques de type « phishing » ou « credential stuffing » : vous pouvez en savoir plus sur ces types d’attaques en consultant le site de la CNIL : https://www.cnil.fr/fr/definition/credential-stuffing-attaque-informatique
En conséquence, nous vous recommandons fortement d’appliquer les recommandations suivantes de sécurité :
- Soyez particulièrement vigilants si vous recevez des emails et/ou SMS dont vous ne connaissez pas l’identité de l’émetteur : ne cliquez sur aucun lien et ne répondez pas à ces messages suspects ;
- Ne cliquez pas sur des liens hypertextes contenus dans des messages semblant suspicieux ;
- Ne renseignez jamais de coordonnées, et notamment de coordonnées bancaires, même si le message semble émaner de votre banque. En cas de doute, contactez directement votre organisme bancaire ;
- Si vous avez reçu un spam sur votre messagerie électronique, ou si le message paraît être une tentative de phishing, ne répondez pas et n’ouvrez pas les pièces jointes, les images ou les liens contenus dans le message. Signalez-le à la plateforme Signal Spam www.signal-spam.fr ; téléchargez une extension pour votre logiciel de messagerie (Thunderbird, Outlook ou Mail pour Mac) ou votre navigateur web si vous consultez votre boîte de messagerie sur un site internet (Chrome, Safari, Firefox) ;
- Si vous avez préalablement créé un compte sur l’espace de vente en ligne de billets, nous vous recommandons très fortement de changer tous les mots de passe identiques ou similaires utilisés sur vos autres comptes personnels (réseaux sociaux, espace bancaire, etc…) par un mot de passe différent ; n’utilisez que des mots de passe robustes. Pour en savoir plus, vous pouvez générer un mot de passe solide sur le site de la CNIL en cliquant ici : https://www.cnil.fr/fr/generer-un-mot-de-passe-solide ; vérifier l’intégrité de vos données sur chaque compte en ligne concerné et surveillez toute activité suspecte sur tous les comptes où vous utilisiez le mot de passe que votre espace de vente en ligne de billets.
D’une façon générale, nous vous invitons à une vigilance particulière concernant toute activité suspecte identifiée sur vos données à caractère personnel.
Nous nous tenons bien naturellement à votre entière disposition pour toute information complémentaire sur cet incident. Vous pouvez nous contacter sur ce sujet à l’adresse suivante dpd@mitry-mory.net