Plus un jour sans une fuite de données. Pour comprendre ce phénomène avec lequel nous devrons vivre, et pour que vous soyez conscient des risques qui y sont liés et des moyens de les réduire, Cyberguerre a réalisé ce guide.

Facebook, Microsoft, des startups, et même un forum de BDSM : désormais, chaque semaine vient avec son lot de fuites de données rendues publiques. Qu’elles soient causées par des attaques complexes lancées par des cybercriminels ou par de simples erreurs humaines, elles ne sont pas à négliger. Entre de mauvaises mains, les données contenues dans ces fuites peuvent alimenter différents types de menaces : des campagnes de phishing au vol d’identité, en passant par le chantage et l’extorsion d’argent.

Heureusement, les cas extrêmes se font rares, et dans la majorité du temps, une bonne hygiène numérique suffit à se protéger des conséquences de ce genre d’incident. Cyberguerre, qui relaie régulièrement les problématiques autour de ces fuites de données, vous propose un guide à la fois écrit et vidéo.

À quoi ressemble une fuite de données ?

Communément, le terme fuite de données évoque une ou plusieurs bases de données sorties du cadre privé dans lequel elles auraient dû rester. Ce sont de grands tableaux où figurent des informations, le plus souvent organisées en lignes, dont le détail sera différent d’une fuite à l’autre.

Le plus souvent, les fuites sont discutées quand elles contiennent des données personnelles, au sens qu’implique le règlement général européen sur la protection des données : des noms, des adresses, des numéros de téléphone, des adresses email… D’autres types de données reçoivent une attention particulière de par leur gravité comme les informations bancaires ou les mots de passe.

Cette fuite de données, par exemple, contient des combinaisons d’emails et de mots de passe utilisées par les utilisateurs de différents services. // Source : Numerama

Plus généralement, les fuites peuvent aussi contenir des dizaines d’informations différentes, en apparence futiles, mais qui peuvent être exploitées par les cybercriminels : des adresses IP, des numéros de commandes, des identifiants client, ou encore des informations spécifiques à un secteur d’activité.

Comment savoir si mes données ont fuité ?

Toutes les fuites de données ne sont pas connues, loin de là. Déjà, il faut que les entreprises touchées constatent la fuite, et qu’elles puissent la délimiter. Ensuite, il faut qu’elles en parlent, ou bien que des personnes extérieures (des pirates, des chercheurs, des journalistes) le fassent. Certaines entreprises préfèrent étouffer l’incident plutôt que d’avertir leurs clients, par peur des potentiels dommages sur leur réputation, et par peur des éventuelles sanctions.

En conséquence, si de nombreuses fuites de données sont rendues publiques chaque semaine, il ne s’agit que la surface émergée de l’iceberg. Pour savoir si vos informations font partie de ces fuites connues, il existe deux principaux moyens.

L’entreprise pourrait vous prévenir de la fuite de données

Parfois par bonne pratique, d’autres fois par obligation légale, certaines entreprises communiquent sur leurs fuites de données.

Si certaines préviennent chaque victime de la fuite, d’autres se contentent d’un communiqué général. Et ce n’est pas tout : la précision des informations communiquées varie grandement d’une entreprise à l’autre, de même pour les conseils à suivre.

Plus généralement, compter sur les entreprises pour vous informer des fuites n’est pas une pratique fiable. Certes, certaines entreprises vertueuses vous avertiront en bonne et due forme, mais elles sont (pour l’instant) minoritaires.

Consultez gratuitement le site Have I Been Pwned (HIBP)

Heureusement, il existe certains services indépendants pour être prévenu. Le plus connu d’entre eux est Have I Been Pwned, un site qui collecte les fuites de données qui lui sont envoyées. Il vous suffit d’entrer votre adresse email dans le moteur de recherche sur la plateforme, et elle trouvera toutes les mentions de cet email dans les plus de 10 milliards de lignes de données qu’elle stocke. Le même service existe pour les mots de passe.

Le résultat détaillera plusieurs informations : d’où vient la fuite, de quand date-t-elle, et quels types de données accompagnaient votre adresse email.

Tenu par Troy Hunt, un Australien qui œuvre de façon indépendante, le site est financé par les dons et par la vente de l’intégration de son service dans des sites tiers, via une API.

Dois-je m’inquiéter de la fuite de mes données ?

La gravité d’une fuite dépend de la qualité des données concernées, du nombre de données sur chaque personne, et de l’association de ces données ensemble. Si un cybercriminel mettait la main sur quinze informations appartenant à une seule personne à partir de deux fuites de données, il pourrait recréer un profil numérique assez complet de cette personne. Il pourrait ensuite lui envoyer de faux emails, avec de grandes chances de la piéger, car il connaîtrait ses centres d’intérêt et des détails de sa vie personnelle que peu de personnes connaissent.

Dernier point à prendre en compte, c’est votre exposition. Si vous avez un poste clé dans votre organisation (entreprise, association, parti politique…) ou alors que vous avez une certaine réputation (par exemple, si vous êtes une figure publique, même à moindre échelle), vous serez des cibles privilégiées. Les pirates pourraient concentrer leurs recherches sur certaines de vos données, comme votre numéro de téléphone ou votre adresse, qui seraient convoités par de nombreuses personnes. C’est ce qu’on appelle le doxxing : une personne malveillante publie ouvertement des informations vous appartenant, à des fins malveillantes.

Quels types de données sont concernées par la fuite ?

La fuite de certaines données sera problématique à elle seule : un mot de passe par exemple peut directement être exploité par des malfaiteurs. Ils feront du « credential stuffing », c’est-à-dire qu’ils essaieront de se connecter sur toutes sortes de services et de plateformes grâce au mot de passe fuité, en espérant que vous l’ayez réutilisé quelque part. Il faudra que vous le changiez dans les plus brefs délais sur toutes les plateformes où vous l’utilisez, ou alors où vous utilisez une de ses variantes.

De même, une fuite de données bancaires peut immédiatement être exploitée pour effectuer des achats, sans que vous ne puissiez agir immédiatement. Il vous faudra faire opposition sur votre carte bancaire au plus vite.

À l’inverse, certaines données, comme votre adresse ou votre adresse email, représentent un danger moins important quand elles sont isolées, mais elles peuvent tout de même alimenter des attaques. Par exemple, les emails seront agrégés en lot pour lancer des campagnes de phishing, tous comme les numéros de téléphone.

Quelles données la fuite associe-t-elle ?

L’association de certaines données entre elles peut créer un cocktail explosif. Par exemple, si vous utilisez un pseudo unique pour différents services, il pourrait être associé à votre vraie identité dans une fuite. Par exemple, vous pourriez être inscrit sur un forum de rencontre extra-conjugale ou écrire des fanfictions sous pseudonymat et vouloir garder à tout prix votre anonymat sur ces activités en ligne. Sauf qu’une personne mal intentionnée pourrait se servir des deux données contenues dans la fuite pour faire du chantage à la divulgation d’information.

Plus le cocktail de données contiendra d’ingrédients plus il sera dangereux. Pire, le cocktail issu d’une fuite peut facilement être lié au cocktail d’une autre fuite, de sorte à créer un profil très complet de la personne.

Comment me protéger contre la fuite de mes données

Malheureusement, il n’y a que peu d’outils pour se protéger contre les fuites de données, qui vont dépendre des moyens mis en œuvre par l’entreprise à qui vous les avez confiées. Mais il est possible de diminuer les risques, et d’être rapidement averti de la majorité des fuites.

Faites attention à qui vous communiquez vos données

Toute entreprise est susceptible d’être touchée par une fuite de données, mieux vaut donc adapter une forme de sobriété numérique pour s’en protéger. Évitez de communiquer vos informations quand vous le pouvez, et communiquez de fausses informations aux services qui n’ont pas besoin des vraies.

Il vous faut au maximum limiter le nombre de sites et services d’où vos données pourraient fuiter. Et certaines données précieuses, comme votre adresse professionnelle, doivent être communiquées le moins possible.

L’objectif de cette prévention est de ne pouvoir se douter d’où vient une fuite, pour agir en conséquence.

Utilisez un service de veille

Certaines entreprises proposent des services de veille qui vont scanner les fuites de données et les plateformes pirates à la recherche de vos informations. Ils vous avertiront si vos données circulent pour que vous puissiez réagir rapidement, à défaut de pouvoir empêcher la fuite.

Parmi les plus connues se trouvent le service francophone de Zataz ou celui anglophone We Leak Info. Il vous faudra débourser plusieurs euros chaque mois, selon les fonctionnalités annexes que vous souhaitez obtenir.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux