que faire pour se protéger ?

Deux fois plus que le nombre d’humains sur Terre. Voici ce que représentent les 16 milliards d’identifiants et mots de passe qui ont été dérobés et publiés en ligne depuis le début de l’année.

Cette information a été révélée ce jeudi 19 juin par des chercheurs de Cybernews, un média spécialisé dans la cybersécurité.  Loin de n’être qu’un bug dans la matrice, les identifiants sont exploitables pour de réelles attaques à grande échelle.

Il s’agirait principalement d’identifiants de connexion et de mots de passe permettant d’accéder à des comptes Apple, Google Telegram, des sites d’entreprises, voire même des services du gouvernement. Toutefois, les données ne proviennent pas de piratages directs de Google ou Apple, mais plutôt d’appareils infectés, précise Les Numériques.

D’après le site du gouvernement si des données personnelles sont récupérées par des cybercriminels, une fuite peut avoir de multiples conséquences pour la victime : hameçonnage ciblé ou tentative d’escroquerie, fraude, extorsion, atteinte à l’image ou la réputation, usurpation d’identité, cyberharcèlement, ou encore tentatives de piratage des comptes en ligne lui appartenant.

Difficile d’estimer le nombre réel de victimes 

Le plus volumineux des fichiers regroupe 3,5 milliards de données piratées, majoritairement issues de locuteurs portugais, indique Libération. Cybernews précise toutefois qu’il est difficile d’estimer le nombre réel de victimes : dans les informations de connexion listées, des doublons ont été repérés.

D’après Libération, il est difficile de savoir exactement qui est responsable. Toutes ces données proviennent d’une accumulation de malwares (logiciel malveillant) qui s’installent via une pièce jointe piégée ou un lien frauduleux puis enregistrent les identifiants de la victime et les transmettent à leur expéditeur. Les données n’ont été rendues publiques que quelques instants, mais les voleurs conservent toutefois leurs traces.

Mais il suffit d’un domino pour faire tomber tous les autres ! Une fois l’accès à un compte obtenu, le hacker peut collecter de nouvelles données toujours plus sensibles comme des comptes bancaires. Pour savoir si vos données ont été dérobées, le site « Have I been pwned » permet de découvrir de manière plutôt fiable si votre mail a fait l’objet d’une fuite. 

 La prudence reste de mise

Mais cela ne suffit pas. La prudence reste de mise. Soyez particulièrement méfiant face à tout appel téléphonique ou message de personnes qui prétendent vous connaître. Pensez également à utiliser un gestionnaire de mots de passe pour générer des mots de passe forts et uniques, et à les mettre à jour régulièrement. Les entreprises qui n’ont pas de système d’authentification multifactorielle, peuvent quant à elle rajouter une étape dans le processus de connexion en demandant par exemple une double authentification via un code reçu par SMS.

N’enregistrez pas vos coordonnées de carte bancaire pour des achats ponctuels sur un site Internet et si vous les avez enregistrées, supprimez-les. Essayez de vous désabonner ou de supprimer les comptes (services, applications, sites Internet) que vous n’utilisez plus.

Cette fuite de données est également l’occasion de rappeler que chaque individu a droit à la suppression de ses données personnelles, auprès des organismes qui les collectent. Comme prévoit l’article 1er de la loi 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi.”  Un droit essentiel à l’heure où la valeur économique de nos données est trop souvent sous-estimée.