Un jour de l’automne 2014, alors que je contribuais encore à la gestion d’une startup que j’ai cofondée (pas celle pour laquelle je travaille maintenant), un client m’a transmis un courriel qu’il trouvait suspect.
L’e-mail avait l’air de quelque chose de suspect.
Le courriel ressemblait beaucoup à ce que mon entreprise enverrait. Il renvoyait vers un site web qui ressemblait beaucoup au nôtre et qui proposait une offre exceptionnelle sur le même service que nous fournissions. L’URL du site était presque identique à la nôtre, aussi.
D’emblée, j’ai eu un mauvais pressentiment, mais ma première réaction a été de me dire qu’il s’agissait simplement d’un concurrent qui avait, d’une manière ou d’une autre, obtenu l’email d’un seul client.
Pas grave.
Puis un autre client a transmis le même courriel. Et un autre et un autre.
Très vite, il est devenu clair que quelqu’un avait obtenu une liste des clients et leur envoyait des courriels pour essayer d’ inciter à payer la mauvaise entreprise pour notre service.
C’est un fait.
J’étais en colère et inquiet. Qui faisait cela ? Comment avaient-ils obtenu les informations des clients ? Combien en avaient-ils ?
En fin de compte, je pense que la façon dont nous avons réagi était surtout bonne, mais nous avons fait quelques erreurs clés. J’espère que si vous vous retrouvez un jour dans cette situation, mon histoire vous aidera à mieux réagir.
Première réponse : ce que nous avons fait de bien
La première chose que nous avons faite a été de communiquer avec les clients. Nous avons envoyé un courriel décrivant ce que nous savions jusqu’à présent, en les avertissant de ne pas cliquer sur les liens dans les courriels qu’ils avaient reçus de la fausse société, et de nous transmettre tout ce qui était suspect.
Nous leur avons assuré que nous examinions ce qui s’était passé et que nous ferions preuve de transparence.
Puis, nous avons commencé à faire des recherches. Nous avons passé au peigne fin les courriels que les clients nous ont transmise, et nous avons demandé à notre responsable informatique de vérifier notre site pour voir s’il y avait eu une brèche. Nous avons également commencé à rechercher la source des emails.
L’informatique n’a pas pu trouver de brèche, mais les courriels présentaient un schéma. Tous étaient des clients dont les informations avaient autrefois été stockées dans une application web que nous n’utilisions plus. Nous recevions également des courriels envoyés à des comptes de test qui n’existaient que dans l’ancienne application.
Les signes pointaient vers l’ancienne application web comme étant la violation de données. Nous avons rapidement mis à jour les clients, en expliquant qui était affecté, pourquoi et quelles données pouvaient avoir été compromises.
C’est ce que nous avons fait.
Nous avons contacté le service de l’ancienne web app, leur avons expliqué ce qui s’était passé et leur avons demandé de bien vouloir supprimer toutes les données héritées de leurs systèmes.
Nous avons également compris que la violation de données était due à un problème de sécurité.
Nous avons également déterminé quel service d’envoi massif d’e-mails le pirate a utilisé pour envoyer les e-mails, et leur avons signalé la situation. En quelques heures, nous avons reçu une réponse indiquant que l’affaire avait été examinée et que l’expéditeur était désormais interdit d’utiliser ce service.
La réponse a été donnée en quelques heures.
Cela nous a beaucoup aidés. En plus d’empêcher d’envoyer davantage d’e-mails à partir de ce service, cela a tué les liens dans les e-mails qu’ils avaient déjà envoyés, de sorte que cliquer dessus n’envoyait les clients nulle part. Enfin, nous avons pris des mesures pour renforcer la sécurité de notre entreprise.
Pour l’instant, tout va bien.
S’énerver : où je me suis trompé
J’étais furieux de ce qui s’était passé.
Dire aux clients que leurs informations n’avaient pas été sécurisées chez nous m’a embarrassé. J’ai dû gaspiller des messages à notre liste de marketing par courriel durement gagnée pour expliquer cette situation, plutôt que notre service.
Et cela m’inquiétait que cela nuise à notre petite startup à court d’argent.
En plus de cela, j’étais déjà extrêmement occupé. Cela me mettait en colère que le temps que j’aurais pu consacrer à beaucoup d’autres choses soit aspiré par cela.
Alors, à côté de tout le reste, j’ai commencé à faire des recherches sur la personne responsable de l’envoi des emails.
Il ne m’a pas fallu longtemps pour trouver de qui il s’agissait et obtenir un compte Skype pour le contacter. J’ai essayé d’appeler, mais la personne a refusé de répondre, alors j’ai fini par avoir une discussion Skype avec elle. Je lui ai dit ce que nous savions, promis que nous le dénoncerions à toute entité légale compétente en la matière (je n’ai jamais trouvé quelqu’un dans les forces de l’ordre qui se souciait de faire quoi que ce soit) et lui ai dit que nous l’avions déjà fait virer d’un service de messagerie et que nous continuerions à le faire avec tous les autres que nous trouverions qu’il utilise.
Il a prétendu qu’il n’avait pas d’adresse électronique.
Il a affirmé qu’il n’avait jamais piraté notre système, et qu’il avait acheté les emails comme pistes ailleurs, sans savoir qu’ils avaient été volés à notre entreprise. C’était presque crédible, mais comment avaient-ils su qu’il fallait construire un site si semblable au nôtre, avec une URL et des emails similaires ?
Je l’ai traité de menteur et de quelques autres mots de choix.
Je ne sais pas ce que j’attendais de tout cela. Au mieux, je lui ai seulement fait savoir que nous avions découvert son stratagème et lui ai donné l’occasion de contrecarrer les efforts pour régler la situation. Au pire, j’ai peut-être mis en colère quelqu’un qui aurait pu causer de sérieux dégâts à mon entreprise.
Pendant les mois qui ont suivi, j’étais paranoïaque à l’idée que mon entreprise soit attaquée d’une manière ou d’une autre. Heureusement, mon affrontement furieux n’a pas entraîné d’autres problèmes.
Il n’y a pas eu de problème.
Il a envoyé quelques autres courriels aux clients et, à chaque fois, nous avons réussi à les faire virer du service de messagerie qu’ils utilisaient. Finalement, il a cessé.
Ce que Yoda essayait de me dire depuis le début
Si vous vous trouvez un jour dans une situation similaire, je conseille de communiquer immédiatement avec vos clients. Je ne pense pas que nous ayons perdu un seul client à la suite du piratage, et je pense qu’une grande partie de notre succès dans ce domaine a été la transparence.
Également, faites des recherches sur la situation et faites tout ce que vous pouvez pour comprendre comment et pourquoi cela s’est produit afin de pouvoir atténuer les dommages supplémentaires. Une partie de la raison pour laquelle nous avons réussi à faire virer le pirate des services d’emails en masse est que nous avons pu dire aux fournisseurs exactement quelles adresses email avaient été volées. Ils ont pu comparer cela à la liste que le pirate a téléchargée, ce qui a étayé notre histoire.
N’oubliez pas que ce n’est pas parce que vous avez cessé d’utiliser un outil web particulier que vos informations et celles de vos clients n’y résident plus. Parlez aux services avec lesquels vous avez travaillé dans le passé, découvrez ce qu’il est advenu de vos anciennes données, et si elles sont toujours là, faites-les supprimer.
Enfin, résistez à la tentation de contacter les personnes responsables. Signalez-les à toute personne susceptible de vous aider, soyez transparent avec vos clients et limitez les dégâts.
Laissez aller votre colère. Comme l’a dit un célèbre maître Jedi, c’est le chemin vers le côté obscur.