Facebook, Microsoft, des startups, et même un forum de BDSM : désormais, chaque semaine vient avec son lot de fuites de données rendues publiques. Qu’elles soient causées par des attaques complexes lancées par des cybercriminels ou par de simples erreurs humaines, elles ne sont pas à négliger. Entre de mauvaises mains, les données contenues dans ces fuites peuvent alimenter différents types de menaces : des campagnes de phishing au vol d’identité, en passant par le chantage et l’extorsion d’argent.
Heureusement, les cas extrêmes se font rares, et dans la majorité du temps, une bonne hygiène numérique suffit à se protéger des conséquences de ce genre d’incident. Cyberguerre, qui relaie régulièrement les problématiques autour de ces fuites de données, vous propose un guide à la fois écrit et vidéo.
À quoi ressemble une fuite de données ?
Communément, le terme fuite de données évoque une ou plusieurs bases de données sorties du cadre privé dans lequel elles auraient dû rester. Ce sont de grands tableaux où figurent des informations, le plus souvent organisées en lignes, dont le détail sera différent d’une fuite à l’autre.
Le plus souvent, les fuites sont discutées quand elles contiennent des données personnelles, au sens qu’implique le règlement général européen sur la protection des données : des noms, des adresses, des numéros de téléphone, des adresses email… D’autres types de données reçoivent une attention particulière de par leur gravité comme les informations bancaires ou les mots de passe.
Plus généralement, les fuites peuvent aussi contenir des dizaines d’informations différentes, en apparence futiles, mais qui peuvent être exploitées par les cybercriminels : des adresses IP, des numéros de commandes, des identifiants client, ou encore des informations spécifiques à un secteur d’activité.
Comment savoir si mes données ont fuité ?
Toutes les fuites de données ne sont pas connues, loin de là. Déjà, il faut que les entreprises touchées constatent la fuite, et qu’elles puissent la délimiter. Ensuite, il faut qu’elles en parlent, ou bien que des personnes extérieures (des pirates, des chercheurs, des journalistes) le fassent. Certaines entreprises préfèrent étouffer l’incident plutôt que d’avertir leurs clients, par peur des potentiels dommages sur leur réputation, et par peur des éventuelles sanctions.
En conséquence, si de nombreuses fuites de données sont rendues publiques chaque semaine, il ne s’agit que la surface émergée de l’iceberg. Pour savoir si vos informations font partie de ces fuites connues, il existe deux principaux moyens.
L’entreprise pourrait vous prévenir de la fuite de données
Parfois par bonne pratique, d’autres fois par obligation légale, certaines entreprises communiquent sur leurs fuites de données.
Si certaines préviennent chaque victime de la fuite, d’autres se contentent d’un communiqué général. Et ce n’est pas tout : la précision des informations communiquées varie grandement d’une entreprise à l’autre, de même pour les conseils à suivre.
Plus généralement, compter sur les entreprises pour vous informer des fuites n’est pas une pratique fiable. Certes, certaines entreprises vertueuses vous avertiront en bonne et due forme, mais elles sont (pour l’instant) minoritaires.
Consultez gratuitement le site Have I Been Pwned (HIBP)
Heureusement, il existe certains services indépendants pour être prévenu. Le plus connu d’entre eux est Have I Been Pwned, un site qui collecte les fuites de données qui lui sont envoyées. Il vous suffit d’entrer votre adresse email dans le moteur de recherche sur la plateforme, et elle trouvera toutes les mentions de cet email dans les plus de 10 milliards de lignes de données qu’elle stocke. Le même service existe pour les mots de passe.
Le résultat détaillera plusieurs informations : d’où vient la fuite, de quand date-t-elle, et quels types de données accompagnaient votre adresse email.
Tenu par Troy Hunt, un Australien qui œuvre de façon indépendante, le site est financé par les dons et par la vente de l’intégration de son service dans des sites tiers, via une API.
Dois-je m’inquiéter de la fuite de mes données ?
La gravité d’une fuite dépend de la qualité des données concernées, du nombre de données sur chaque personne, et de l’association de ces données ensemble. Si un cybercriminel mettait la main sur quinze informations appartenant à une seule personne à partir de deux fuites de données, il pourrait recréer un profil numérique assez complet de cette personne. Il pourrait ensuite lui envoyer de faux emails, avec de grandes chances de la piéger, car il connaîtrait ses centres d’intérêt et des détails de sa vie personnelle que peu de personnes connaissent.
Dernier point à prendre en compte, c’est votre exposition. Si vous avez un poste clé dans votre organisation (entreprise, association, parti politique…) ou alors que vous avez une certaine réputation (par exemple, si vous êtes une figure publique, même à moindre échelle), vous serez des cibles privilégiées. Les pirates pourraient concentrer leurs recherches sur certaines de vos données, comme votre numéro de téléphone ou votre adresse, qui seraient convoités par de nombreuses personnes. C’est ce qu’on appelle le doxxing : une personne malveillante publie ouvertement des informations vous appartenant, à des fins malveillantes.
Quels types de données sont concernées par la fuite ?
La fuite de certaines données sera problématique à elle seule : un mot de passe par exemple peut directement être exploité par des malfaiteurs. Ils feront du « credential stuffing », c’est-à-dire qu’ils essaieront de se connecter sur toutes sortes de services et de plateformes grâce au mot de passe fuité, en espérant que vous l’ayez réutilisé quelque part. Il faudra que vous le changiez dans les plus brefs délais sur toutes les plateformes où vous l’utilisez, ou alors où vous utilisez une de ses variantes.
De même, une fuite de données bancaires peut immédiatement être exploitée pour effectuer des achats, sans que vous ne puissiez agir immédiatement. Il vous faudra faire opposition sur votre carte bancaire au plus vite.
À l’inverse, certaines données, comme votre adresse ou votre adresse email, représentent un danger moins important quand elles sont isolées, mais elles peuvent tout de même alimenter des attaques. Par exemple, les emails seront agrégés en lot pour lancer des campagnes de phishing, tous comme les numéros de téléphone.
Quelles données la fuite associe-t-elle ?
L’association de certaines données entre elles peut créer un cocktail explosif. Par exemple, si vous utilisez un pseudo unique pour différents services, il pourrait être associé à votre vraie identité dans une fuite. Par exemple, vous pourriez être inscrit sur un forum de rencontre extra-conjugale ou écrire des fanfictions sous pseudonymat et vouloir garder à tout prix votre anonymat sur ces activités en ligne. Sauf qu’une personne mal intentionnée pourrait se servir des deux données contenues dans la fuite pour faire du chantage à la divulgation d’information.
Plus le cocktail de données contiendra d’ingrédients plus il sera dangereux. Pire, le cocktail issu d’une fuite peut facilement être lié au cocktail d’une autre fuite, de sorte à créer un profil très complet de la personne.
Comment me protéger contre la fuite de mes données
Malheureusement, il n’y a que peu d’outils pour se protéger contre les fuites de données, qui vont dépendre des moyens mis en œuvre par l’entreprise à qui vous les avez confiées. Mais il est possible de diminuer les risques, et d’être rapidement averti de la majorité des fuites.
Faites attention à qui vous communiquez vos données
Toute entreprise est susceptible d’être touchée par une fuite de données, mieux vaut donc adapter une forme de sobriété numérique pour s’en protéger. Évitez de communiquer vos informations quand vous le pouvez, et communiquez de fausses informations aux services qui n’ont pas besoin des vraies.
Il vous faut au maximum limiter le nombre de sites et services d’où vos données pourraient fuiter. Et certaines données précieuses, comme votre adresse professionnelle, doivent être communiquées le moins possible.
L’objectif de cette prévention est de ne pouvoir se douter d’où vient une fuite, pour agir en conséquence.
Utilisez un service de veille
Certaines entreprises proposent des services de veille qui vont scanner les fuites de données et les plateformes pirates à la recherche de vos informations. Ils vous avertiront si vos données circulent pour que vous puissiez réagir rapidement, à défaut de pouvoir empêcher la fuite.
Parmi les plus connues se trouvent le service francophone de Zataz ou celui anglophone We Leak Info. Il vous faudra débourser plusieurs euros chaque mois, selon les fonctionnalités annexes que vous souhaitez obtenir.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !