/news/techno

Fuites de données: Voici comment vérifier si des pirates ont vos données en main

Le fichier de 533 millions d'utilisateurs de Facebook qui circule parmi les pirates du web rappelle qu'à l'ère numérique, il faut être frugal dans l'exposition de ses données et prudent lorsqu'un courriel ou un SMS qui semble bien vous connaître vous demande de cliquer sur un lien.

Le site haveibeenpwned.com permet de savoir si votre numéro de téléphone ou votre adresse courriel figure sur les bases de données que s'échangent les pirates. Il est réputé fiable chez les professionnels de la cybersécurité.

De même, le site français Zataz.com, propose un service de veille payant pour les particuliers.

Mais il ne faut surtout pas faire confiance à n'importe quel site et lui donner des informations... qui seront ensuite revendues.

Jean-Jacques Latour, responsable de l'expertise pour le site d'aide aux particuliers cybermalveillance.gouv.fr, est un peu dubitatif quant à l'utilité réelle de l'information produite par un site comme haveIbeenpwned.

«Il n'y a aucune garantie d'exhaustivité» et «cela risque de vous faire peur pour pas grand-chose», estime-t-il.

En tout cas, si vous aviez renseigné avant la mi-2019 votre numéro de téléphone sur Facebook, vous faites très probablement partie des 533 millions d'internautes - près de 20 millions en France - dont les données ont été piratées, et en partie publiées sur un forum de pirates le week-end dernier.

En l'état, vous ne risquez rien - mais attention aux messages trompeurs que vous pourriez recevoir.

«Le piège auquel on peut s'attendre, c'est de recevoir un faux SMS disant +bonjour c'est Facebook, nous avons détecté une connexion bizarre sur votre compte+ et vous invitant à cliquer sur un lien», explique David Sygula, analyste de CybelAngel (qui traque les fuites de données pour le compte des entreprises).

«Vous ne vous posez pas de question, vous cliquez sur le lien... et vous êtes piégé», avec le risque d'être détroussé d'informations sensibles - des mots de passe ou codes d'accès par exemple - ou de voir implanter un logiciel espion sur votre appareil.

Beaucoup de numéros de téléphone  

Selon David Sygula, le fichier Facebook comprend des numéros de téléphone, mais en revanche peu d'adresses courriel - 111 000 environ pour la France, soit 0,5% des internautes figurant dans le fichier - donc les attaques par mail piégé sont déjà un peu moins probables.

Non. Le "fichier Facebook" «'n'est rien par rapport à la masse de données volées que les pirates s'échangent ou se revendent en permanence», relève Damien Bancal, l'animateur du site Zataz.com, qui s'est fait une spécialité de l'infiltration des réseaux souterrains d'échange de données.

«Hier soir, en quatre heures, j'ai pu accéder à plus de 150 bases de données différentes», donnant des informations privées parfois très bien segmentées, explique-t-il.

«J'ai une boutique qui vend des données de propriétaires de véhicules: noms, prénoms, adresses, plaques d'immatriculation, données de carte grise», indique-t-il par exemple.

Les valeurs d'échange varient selon la taille du fichier, le degré de confidentialité des infos qu'elles contiennent, leur degré de fraîcheur...

L'adresse courriel se vend au final très peu cher, de «quelques centimes par adresse courriel jusqu'à quelques centaines d'euros pour le pack de 15 20 millions d'adresse», estime Damien Bancal.

«Une liste d'adresse courriel de 40.000 adresses de patrons de société (...) peut valoir 500 à 1000 euros», indique David Sygula.

Le principe de base est que toute information qui est rentrée sur un site ou un réseau social, même de confiance, peut un jour être exposée.

«Il faut donner ses informations avec parcimonie», explique Damien Bancal.

Il recommande d'utiliser plusieurs adresses courriel différentes, par exemple par pôles: santé, famille, école, travail, presse et forums... que l'on peut ensuite regrouper sur une seule plateforme grâce à des outils comme Thunderbird.

D'une manière générale, «il faut éviter d'étaler sa vie sur internet car internet n'oublie rien», rappelle Jean-Jacques Latour. «Evitez de donner votre adresse mail si vous n'avez pas besoin de la mettre, ou créez des adresses mail "poubelle"».

Dans la même catégorie