C’est arrivé près de chez vous

En France, l’enseigne Darty connut en février 2017 une fuite de données conséquente en raison d’une erreur d’un prestataire. Tout partait d’un courriel diffusé par le service après-vente de l’entreprise dans lequel apparaissaient une adresse web (lien, URL) et un identifiant de connexion sous forme de chiffres. Des chiffres qui pouvaient être modifiés. Il suffisait de remplacer, par exemple, 92829 par 92828 et vous aviez directement accès à la fiche d’un autre utilisateur du SAV de Darty. La brèche concernait le système de gestion des messages envoyés par les clients au service après-vente. Bilan, des milliers de messages accessibles, très simplement, en modifiant L’URL de la requête. Le numéro client permettait d’accéder aux questions/réponses entre l’internaute et la SAV Darty. Le fautif n’était pas directement Darty mais un de ses prestataires de services. Le spécialiste de l’électroménager sera condamné par la Commission Informatique et des Libertés pour « négligence dans le suivi des actions de son sous-traitant qui a permis l’accessibilité de données à caractère personnel variées et directement identifiables se rapportant à de nombreux clients ».

La société Deep Root Analytics a fait fuiter en juin 2017, par erreur, plus de 1 téraoctet (mille gigaoctets) de données non sécurisées d’électeurs américains via un compte Amazon S3, c’est-à-dire un espace cloud où étaient sauvegardées des informations sur plus de 150 millions de citoyens, classés par âge, ville, numéro de téléphone, affiliation politique, ethnique, religieuse… Comment une telle fuite fût possible ?

Il semblerait que ce soit dû à l’utilisation de systèmes informatiques sans avoir pris le temps de lire le mode d’emploi et de vérifier les options de sécurité pourtant proposées. « Nous assumons la pleine responsabilité de cette situation. » indiquait à l’époque Deep Root Analytics. Les personnes concernées par cette fuite sont heureuses de l’apprendre, maintenant que leur vie privée est étalée au grand jour !

Ce que vous risquez

Des fuites de données massives, depuis que je me penche sur la cybersécurité et le cybercrime, j’en ai vu passer des centaines de milliers. Médiatiques ou non. Petites ou grandes. Ces fuites ont toutes eu le même résultat. La perte de l’identité et de la réputation des personnes se retrouvant dans ces diffusions non souhaitées.  Dans une base de données piratée, les malveillants se retrouvent en possession de vos informations personnelles que vous avez laissé lors de votre inscription, de votre achat. Bilan, toutes les données comme votre nom, adresse postale, adresse électronique, téléphone, … sont définitivement perdus ! Ne pensez pas que, parce qu’il n’y avait pas de données bancaires, vous ne risquez rien.

Avec votre adresse mail le pirate peut : revendre l’information ; vous atteindre via un courriel de type phishing (voir fiche XXX) ; vous noyez de publicités non sollicitées ; vous envoyer, sous une fausse identité, un adresse web piégée (voir fiche URL) ; vous envoyer un fichier piégé (faux PDF, …) ; permettre de vous retrouver dans les réseaux sociaux (surtout si vous utilisez le même mail pour vos inscriptions).

Avec votre numéro de téléphone le pirate peut : revendre l’information ; usurper votre numérique de téléphone pour que ce dernier apparaisse dans un appel frauduleux. Une technique baptisée spoofing ; vous appeler et se faire passer pour l’entreprise (collecte d’information, incitation à vous rendre sur un site web, …) ; vous envoyer des publicités non sollicitées par SMS, MMS ; Vous communiquer un fichier piégé par MMS ; vous diriger, par SMS, vers un site piégé ; un phishing.

Avec votre mot de passe, le pirate peut : le tester sur d’autres sites. Efficace si le mot de passe est toujours le même ; le rajouter dans un dictionnaire de mot de passe ; révéler des informations personnelles, surtout si ce mot de passe est le prénom de votre enfant, épouse/mari, date de naissance, ville de résidence …

Comment vous protéger

Que faire pour se protéger d’une fuite massive de données ? Question difficile.

Si cette fuite ressemble à celle d’Amazon, en décembre 2018, « presque » pas d’inquiétude. Dans ce cas, votre adresse mail est perdue et pourra être visée par les différentes attaques citées ci-dessus. Je vous conseille d’en changer pour Amazon (voir fiche courrier électronique).

Si vous êtes présents dans une base de données piratée comme après le piratage de DELL ou de plusieurs hôtels du groupe Marriott, en décembre 2018, plusieurs choix s’offrent vous. A vous de décider la meilleure des solutions. Je vous propose celles que je pense être les plus efficaces pour protéger votre identité et réputation numériques.

Si vous découvrez que vos informations fuitent sur les Internet ? Regroupez les preuves concernant cette fuite de données. Captures écrans, sauvegarde des liens se référant à la fuite et alerter votre conseiller juridique. Le mutisme n’est pas la solution.  Une petite démonstration que vous pouvez tester afin de vous donner une méthode de contrôle. Allez sur Google.com. Dans la barre de recherche, tapez la commande suivante : inurl :.txt [le suffixe de votre opérateur]. Cette commande, baptisée Google Dork se traduit ainsi : Je veux que dans les url référencées par Google [INURL] tous les fichiers texte [.TXT] comportant des adresses mails de l’opérateur de mon choix soient affichés. Cela donne, par exemple : inurl :.txt @vottremail. Google vous affichera toutes les bases de données non protégées comportant des adresses électroniques Orange !

Ensuite, alerter les autorités. Une plainte ou une main courante affichera vos ambitions de protection. Nous reviendrons plus tard sur les autorités à contacter (OCLCTIC, Gendarmerie Nationale, DGRI).

Pour finir saisir la Commission Informatique et des Libertés est indispensable. Même si la CNIL ne peut être sur tous les fronts, l’alerter, c’est déjà vous protéger. N’oubliez pas que depuis le 25 mai 2018, vous êtes sous la protection du Règlement Général de la Protection des Données (voir fiche RGPD).

Nos données ne sont pas des produits comme les autres. Le RGPD, nous y reviendrons un peu plus tard, vous protège, nous protège.