Vos données personnelles ont fuité sur le dark Web. Ce n’est plus une question, mais une certitude. Les vols de données par des individus malveillants sont devenus quotidiens, avec de multiples incidents tous les jours rien qu’en France. Pour se rendre compte de l’ampleur du phénomène, il suffit de regarder sur le site bonjourlafuite.eu.org qui recense les incidents.

En vert les fuites confirmées, en orange celles qui sont crédibles mais pas encore confirmées, généralement repérées lorsqu’un hacker tente de vendre les données sur le dark Web. Rien que sur les derniers jours, on peut citer Relais Colis, Darty, la Commission Européenne, l’Office Français de la Biodiversité (pour le permis de chasser). Cette année a également été marquée par le piratage d’un sous-traitant de Service-Public.fr, ainsi que de l’Office français de l’immigration et de l’intégration. Et n’oublions pas les piratages récents de tous les opérateurs français.

Et cela ne va aller qu’en s’empirant. Le gouvernement compte interdire les réseaux sociaux aux moins de 15 ans, ce qui aura pour conséquence que toute personne majeure en France devra justifier de son identité pour accéder à ces sites. Une bonne nouvelle pour les jeunes, mais un cauchemar du point de vue de la sécurité, puisqu’il faudra fournir ses données personnelles à un tiers, une vaste base de données qui finira très certainement par être piratée à son tour.

Communiqué après le piratage en lien avec service-public.gouv.fr. © DINUM

Du démarchage abusif au vol d’identité

Certaines des fuites récentes se limitent à des informations basiques, comme le nom, l’adresse, ou la date de naissance. D’autres contiennent des données beaucoup plus sensibles, comme la carte d’identité ou des informations bancaires. Il faudra être particulièrement vigilant, car des individus malveillants n’hésiteront pas à s’en servir contre leurs victimes. Certains se limiteront au simple démarchage téléphonique frauduleux, tentant de vendre des panneaux solaires ou des abonnements électriques.

D’autres lancent des campagnes d’hameçonnage (phishing) avec des e-mails personnalisés contenant beaucoup d’informations volées afin de rendre le message plus crédible, et vous inciter à cliquer sur le lien pour voler votre mot de passe ou installer un virus. De faux conseillers bancaires peuvent vous contacter pour tromper votre vigilance et vous inciter à valider un paiement frauduleux. Certains peuvent utiliser les données pour l’usurpation d’identité, en se faisant passer pour leurs victimes afin de souscrire un prêt, louer un appartement, ou encore se servir de données très personnelles pour les faire chanter.

Pour savoir si vos propres données ont fuité, vous pouvez interroger la base de données Have I Been Pwned. Il suffit de saisir votre adresse e-mail, et le site indique si elle est apparue dans des fuites récentes. À noter qu’il faut parfois attendre plusieurs semaines ou mois après une fuite avant que ses données soient intégrées au site.

Have I Been Pwned permet de savoir si son adresse e-mail est inclus dans des bases de données volées. © Have I Been Pwned

Sécuriser ses accès : les réflexes de survie

Heureusement, il existe plusieurs pistes pour limiter l’impact de ces fuites. Si un pirate obtient l’identifiant et le mot de passe d’une victime pour un site, il peut les tester sur d’autres sites car beaucoup de gens réutilisent les mêmes. Il faut donc impérativement utiliser un mot de passe différent pour chaque site. Le mieux est de faire appel à un gestionnaire de mots de passe comme Bitwarden, qui pourra générer des codes longs et aléatoires, et les mémoriser de manière sécurisée.

Il faut aussi activer l’authentification à deux facteurs lorsque c’est possible. À chaque nouvelle connexion, le site en question enverra un code à usage unique par SMS ou e-mail. Sans ce code, impossible de se connecter même en connaissant le mot de passe. Le SMS est le moins sécurisé, mais reste préférable à rien. Le mieux est de faire appel à une application d’authentification qui génère directement les codes (Microsoft Authenticator, Google Authenticator, Authy), évitant qu’ils soient interceptés.

Au final, il faut partir du principe que vos données circulent déjà, et tenter au maximum de réduire les risques que cela soit utilisé contre vous.