Opinion

Voulez-vous savoir si vos informations ont été divulguées ?

Hacker

Dans les articles précédents, nous avons parlé des fuites de données qui peuvent toucher les utilisateurs exposés sur Internet. Dans l'article suivant, nous passerons en revue les dernières fuites de données et nous montrerons quelques ressources que les utilisateurs peuvent utiliser pour savoir si leurs mots de passe ont été exposés, ainsi que quelques conseils pour y remédier.

Un aperçu des dix principales fuites de données

  • PlayStation Network : En 2011, la plateforme de jeux en ligne de Sony a subi une interruption de service. Dans les jours qui ont suivi, la multinationale a admis avoir subi une violation de données qui a exposé les données personnelles de plus de 75 millions d'utilisateurs, d'autant plus grave qu'elle comprenait des données bancaires. Des milliers de joueurs ont ainsi dû annuler leur carte de crédit à titre préventif. 
  • Google + : bien qu'il ne soit pas l'un des points forts de Google, il semble avoir été un point d'intérêt pour les cybercriminels. Ceux-ci ont exploité la plateforme en obtenant, pendant plus de trois ans (entre 2015 et 2018), les données d'un demi-million d'utilisateurs. 
  • Celebgate : le stockage en nuage a aussi ses risques, bien que les services de cette fuite appartiennent à Apple (une référence en matière de confidentialité et de sécurité) cela n'a pas empêché qu'en août 2014, les photos intimes de multiples célébrités soient publiées.
  • Ebay : la célèbre plateforme de commerce électronique a également été exposée. En mai 2014, sa base de données a fait l'objet d'une fuite, exposant jusqu'à 145 millions d'utilisateurs dans le monde. Malgré les mesures prises par Ebay, qui a averti les utilisateurs concernés de changer leurs mots de passe, il s'agit toujours d'une attaque historique. 
  • Adobe : presque tout le monde a utilisé les services d'Adobe à un moment ou à un autre. Le site AnonNews a révélé le vol d'adresses électroniques, de mots de passe et d'informations sur les cartes de crédit de 2,9 millions d'utilisateurs. Mais, en outre, les cybercriminels ont réussi à voler le code source d'un certain nombre de logiciels Adobe, qui constituent la base des principaux programmes tels que Photoshop, Lightroom, etc.
  • Base de données des électeurs américains : le vote en ligne est un système qui se trouve encore dans une phase expérimentale, précisément en raison des éventuelles failles de sécurité. Cela a été prouvé lorsque plus de 190 millions d'électeurs américains ont été exposés par une mauvaise configuration de la base de données, y compris des informations telles que des noms, des adresses, des dates de naissance, des numéros de téléphone, des affiliations à des partis à travers les États-Unis.
  • Anthem Health Insurance : Toujours dans le cas du géant américain, le secteur de la santé n'a pas non plus été épargné par ce type d'attaque. En février 2015, ils ont subi une cyberattaque qui a entraîné la fuite des données de plus de 88 millions de clients à travers le pays. Les données compromises contenaient des informations sur les noms, les adresses, les dates de naissance, les numéros de sécurité sociale, les numéros de téléphone et même des informations sur l'emploi.
  • LinkedIn : selon la plateforme d'information Xataka, le réseau social d'emploi LinkedIn pourrait avoir subi un autre vol potentiel d'informations, qui pourrait toucher 500 millions d'utilisateurs, en avril 2021. Ces données ont été vues sur différents forums spécialisés dans l'achat et la vente d'identifiants, alertant les responsables de la plateforme, qui enquêtent toujours sur cet événement. 
  • EasyJet : les compagnies aériennes ne sortent pas non plus indemnes de ce type de menace, comme l'a prouvé en mai 2020 la compagnie aérienne qui a signalé une faille de sécurité ayant laissé les données de plus de 9 millions de clients publiquement exposées. 
  • Nintendo : il semble que cette plateforme n'avait pas correctement corrigé une vulnérabilité qui permettait d'obtenir le compte NNID et de l'utiliser sur des comptes utilisant le même mot de passe. Bien qu'il ne soit pas possible d'obtenir directement des cartes de crédit, dans certains cas, il était possible d'effectuer des paiements au sein des services, comme des jeux ou des micro-paiements. Plus de 300 000 utilisateurs auraient été touchés.
Comment un utilisateur peut-il vérifier si ses données ont été filtrées ? 

Il existe plusieurs ressources sur Internet qui vous permettent de vérifier si votre courriel apparaît dans des fuites existantes, telles que celles mentionnées ci-dessus. 

La plateforme Have I Been Pwned en est un exemple concret. Sur cette plateforme, vous pouvez insérer votre courriel et, en quelques secondes, elle vous fournira des informations sur les bases de données filtrées où votre courriel apparaît. 

Une autre plateforme similaire est celle fournie par Cyberop "Have I been hacked ?", fonctionnant de manière similaire à Have I Been Pwned, vous entrez votre adresse électronique et elle vous fournira des informations sur les fuites possibles liées à votre courriel. 

Parmi les outils qui peuvent nous aider à savoir si nos données d'utilisateur ont fait l'objet d'une fuite ou d'un piratage, nous avons Password Checkup, qui nous permet de vérifier la sécurité de nos comptes Google ou que nous leur avons associés, aussi bien les sites en ligne que les applications liées.

Enfin, si vous avez utilisé un service quelconque auprès d'entreprises connues pour avoir subi une violation de données, par mesure de sécurité et de prévention, changez simplement votre mot de passe.

Conclusions et conseils aux utilisateurs

Les fuites de données sont un problème qui nécessite un travail constant. La sécurité n'est pas un produit, c'est un long voyage qui exige une amélioration constante. Vous trouverez dans les lignes qui suivent quelques conseils pratiques que tous les utilisateurs peuvent suivre pour améliorer leur sécurité :

  • Utilisez des mots de passe forts, toujours de plus de 8 caractères et comprenant des lettres (minuscules et majuscules), des chiffres et des symboles.
  • N'utilisez pas le même mot de passe pour tous les services. Il est facile d'identifier les services que vous utilisez et de vérifier si vous utilisez les mêmes informations d'identification.
  • Si votre compte a été compromis, changez immédiatement votre mot de passe. Moins de la moitié des utilisateurs modifient leur mot de passe après une attaque.
  • Utilisez l'authentification à deux facteurs.
  • Évitez le phishing ! Si un courriel ou un message texte vous semble suspect, il est préférable de l'ignorer. 

Soyez en cyber-sécurité ! 

Ainoa Guillén González, coordinatrice du secteur de la cybersécurité chez Sec2Crime.