Fuite de données - tous concernés

 Vous partagez vos données personnelles sur de nombreux sites. Un des risques principaux est la fuite de données. Cela correspond à la publication ou transmission non autorisée d’informations privées, non destinées à être partagées, suite par exemple à un vol. Vous n'êtes pas responsable, mais vous serez victime si cela vous arrive. Pourquoi ces données volées peuvent se transformer en objet commercial? Quelles peuvent être les conséquences?Que peut-on faire de vos données ?Vos données, une marchandise comme les autresLeur valeur est proportionnelle à la richesse des informations volées. Plus votre profil est complet et détaillé, plus il aura de valeur sur le “marché noir” des données pesonnelles. Vos données (données bancaires, nom, adresse postale/mail, date de naissance, numéro de sécurité sociale, etc.) sont regroupées sous la forme de paquets. Toutes ces informations sont vendues à des prix qui varient en fonction de l’intérêt et de la qualité de celles-ci. Voici une estimation de prix de comptes PayPal, Ebay et de données bancaires :                                                                        Capture d'écran, Twitter CIRCL On utilise une monnaie virtuelle (des Bitcoins) pour vendre les données. Par exemple, comme on peut le voir sur la capture d'écran: 100 comptes PayPal actifs sur ce site valent 0.169 Bitcoins, soit 51.27 euros (taux de change actuel : 1 Bitcoin = 303.38 euros).Une source de chantageDes personnes malintentionnées peuvent également utiliser vos données contre vous. Ce fut par exemple le cas du piratage du site Ashley Madison, un site s’adressant aux internautes adultes mariés cherchant à avoir une relation extraconjugale. Les informations de plus 30 millions d’utilisateurs (dont certains au Grand-Duché de Luxembourg) se sont retrouvées en ligne et donc publiquement accessibles. Certains attaquants ont contacté les utilisateurs d’Ashley Madison pour leur faire du chantage, menaçant de contacter leur conjoint(e) si ceux-ci n’envoyaient pas d’argent à une adresse anonyme.Le social engineeringLe social engineering se base souvent sur une fuite de données. Il s’agit d’une méthode d'escroquerie qui se nourrit d'informations personnelles. Si vos données sont facilement accessibles sur Internet, une personne malintentionnée pourrait plus aisément utiliser ces informations et se faire passer pour vous auprès de tiers. Les conséquences peuvent être très graves, sachant que ce type d'attaque est parmi ceux les plus utilisés par les criminels. Nos recommandations :Utilisez des mots de passe solides et variésN’oubliez pas de sécuriser votre connexion avec un mot de passe complexe et difficile à deviner. Mais surtout, n’utilisez pas le même mot de passe pour des comptes différents, en particulier si vous renseignez des informations sensibles comme votre numéro de carte de crédit ou de sécurité sociale. Vous pouvez tester votre mot de passe via ce lien: https://pwdtest.bee-secure.lu/.Recourez à la double authentificationCette méthode est beaucoup plus sécurisée que l'approche dite des "questions de sécurité" pour lesquelles les réponses sont en général des informations facilement accessibles via les réseaux sociaux. La double authentification est disponible sur la plupart des réseaux sociaux, des plateformes de cloud ou de webmail. Cette méthode vous oblige à entrer un code supplémentaire à chaque fois que vous vous connectez au départ d’un nouvel appareil. Ce code à unique vous est envoyé par sms ou au travers d’une application dédiée.Gardez les données sensibles pour vousDans le cadre de l'exemple Ashley Madison cité plus haut, des informations particulièrement gênantes se sont retrouvées en ligne. Réfléchissez avant de publier, et dites-vous bien que même les messages privés peuvent un jour devenir publics à votre insu. Les garanties de confidentialité se limitent à la capacité de sécurisation du prestataire de service. Elles ne doivent pas être prises pour argent comptant.Ne cédez pas au chantageDans le cas où l’on essayerait de vous faire chanter en vous demandant une somme d’argent suite à une fuite d'information, ne payez pas. Contactez la Police.Méfiez-vous des sites qui vous permettent de vérifier si vous avez fait l'objet d'une fuite à votre insuCertains sites vous proposent d’introduire vos identifiants pour vérifier si vous n’êtes pas touché par une fuite de donnée. Mais comment savoir si le service proposé est fiable? En utilisant de tels services, vous vous exposez au risque de renseigner des bases de données qui pourront être utilisées pour des campagnes de phishing. N’hésitez pas à consulter cet article portant sur le phishing: https://www.bee-secure.lu/fr/glossaire/phishing