34965484457
The_Nasty_Truth_of_Data_Breaches-Hero

Écrit par Joseph Regan
Publié le 20 August 2019

Nous aimerions pouvoir vous rassurer et vous dire qu'il existe une façon de se protéger. Mais vous devons vous dire la vérité et non ce que vous aimeriez entendre. Alors voilà la mauvaise nouvelle...

Cet article contient :

    Vous ne pouvez pas empêcher les violations de données.

    Elles sont, d'une certain façon, inévitables.

    On sait, ce n’est pas très réjouissant, mais c'est la vérité. Dès que vous remettez vos données à un site Web ou à un service en ligne, vous en perdez le contrôle. Les sites Web ont le droit de vendre vos données à d’autres entreprises. C’est ce qu’ils font souvent et c'est un moindre mal. Dans le pire des cas, la sécurité défaillante de leurs systèmes permettra aux pirates et autres malfaiteurs de s’emparer de vos données.

    Et si vous croyez que pour éviter les risques, il suffit de ne pas utiliser Google ou Facebook, vous vous méprenez. N'oubliez pas : les services que vous utilisez ont le droit de vendre et vendront vos données à d’autres entreprises, dont vous ne soupçonnez même pas l’existence. Si ces entreprises sont victimes d’une fuite de données, il se peut que vos données fassent partie du lot. Et vous n’en saurez peut-être jamais rien. En fait, c'est en partie la raison pour laquelle la susmentionnée violation de données d’Equifax a été si catastrophique : même des personnes qui n'avaient jamais utilisé les services d'Equifax ont été victimes de la fuite de données parce que leur banque avaient donné leurs données sans les prévenir.

    D’ailleurs, un accord avec Equifax a récemment été conclu et vous avez droit à une indemnisation si vous avez été concerné par la violation de données. Son montant n’est pas aussi élevé que prévu, mais vous pouvez quand même récupérer quelques euros en remplissant un formulaire.

    De toute façon, à moins que vous vous déconnectiez totalement du monde moderne, il y aura toujours des risques, même minimes, que vos données soient compromises.

    D’abord, pourquoi vole-t-on des données ?

    C’est simple. Vos données sont précieuses. Les entreprises en ont beaucoup et ont beaucoup de moyens de les collecter.

    Même les plus petits sites Web qui vous demandent de vous inscrire pour accéder à leur site disposent de données qui intéressent les pirates ou autres individus malhonnêtes. Il y a mille et une façon de vous nuire. Un pirate peut réutiliser votre mot de passe pour accéder à d'autres de vos comptes, ou utiliser votre adresse e-mail pour envoyer des spams ou mener des attaques de phishing (« hameçonnage »). Les plus gros sites Web attirent bien sûr davantage les pirates car ils peuvent détenir toutes sortes d’informations, de votre carte bancaire à votre numéro de sécurité sociale. Ces données sont comme un chèque signé. Même des dossiers médicaux ou des antécédents de crédits et de prêts peuvent servir aux cybercriminels pour élaborer des campagnes très convaincantes de « spear-phishing »” (ou « harponnage ») et escroquer leurs victimes.

    Quant à la façon dont ces violations de données se préparent, les pirates n’ont que l’embarras du choix. Voici ce qu’ils peuvent faire :

    • Envoyer une vague de messages de phishing. Il suffit qu’un seul employé naïf clique sur le lien pour entrer dans le système d’une entreprise.

    • Introduire des clés USB infectées dans un immeuble de bureaux.

    • Profiter de l’obsolescence des nombreux logiciels dont dépendent les entreprises. 

    • Soudoyer ou convaincre un ancien ou actuel employé de leur donner accès au système de l’entreprise. 

    • Détecter les vulnérabilités dans l’infrastructure de sécurité.

    • Se faire passer pour des partenaires commerciaux et demander à consulter des données.

    Et ce n'est que la partie émergée de l'iceberg. Les pirates font preuve d’énormément de créativité pour s’enrichir. Mais on a quand même une bonne nouvelle...

    Vous pouvez minimiser les risques

    Il est vrai que vous ne pouvez jamais éliminer complètement le risque de fuite de vos données. Cependant, vous pouvez prendre certaines mesures pour éviter une catastrophe... ou du moins, limiter les dégâts.

    1. Nettoyez vos données en vrac

    De nombreuses données à votre sujet circulent sur Internet. Vous en connaissez certaines, que vous avez volontairement communiquées (par exemple une adresse e-mail ou votre nom complet lorsque vous créez un compte sur Linkedin). Mais vous n’avez sûrement aucune idée de toutes les autres informations disponibles à votre sujet. Google, Facebook et d’innombrables conglomérats d’entreprises de données s’enrichissent en rassemblant des données sur vous de toutes les façons possibles et imaginables : avec leurs outils de suivi et leurs techniques, tout les intéresse, de vos habitudes d’achat à vos dossiers médicaux.

    La bonne nouvelle, c'est que la plupart de ces données sont anonymisées : en général, les entreprises ne s'intéressent pas à vous en particulier, mais aux données, tendances et démographies. Par exemple, elles veulent savoir quel pourcentage de leur public a le diabète, et non si vous êtes diabétique ou pas. Votre diabète n’intéresse aucun pirate au monde. Donc si ces données fuitent, ne vous inquiétez pas. Le problème ne se pose que si elles fuitent avant l’étape d’anonymisation...

    Heureusement, il y a une façon de retenir un minimum ces « données en vrac ». En utilisant un réseau privé virtuel (VPN) et un service anti-suivi, vous pouvez rendre inutile les nombreux outils (mais pas tous) utilisés par les sites Web et entreprises pour vous suivre et récupérer vos données. Grâce à ces logiciels - qui en plus, vous permettent de naviguer de façon plus confidentielle sur Internet -, vous pouvez déterminer quelles données ont été volées, si un service en ligne quelconque est victime d’une violation de données (que vous en ayez entendu parler ou non, sachant que de nombreuses entreprises ne parlent pas ouvertement de leurs problèmes de cybersécurité).

    Ce n'est en aucun cas une garantie, mais c'est un bon début.

    2. Utilisez 10minuteMail pour créer des comptes

    10MinuteMail est un service gratuit qui permet de créer une adresse électronique valide mais qui s’auto-détruit au bout de 10 minutes. 

    Pas idéal pour correspondre avec votre maman, mais parfait pour configurer et valider des comptes en ligne, tout en gardant secrète votre vraie adresse e-mail. Vous pourrez toujours accéder au compte que vous avez créé après l’expiration de l’adresse 10MinuteMail. Si le service ou site Web en question a une fuite de données, tout ce qu'obtiendront les pirates, c'est un compte e-mail sans valeur, expiré et qui ne pourra être associé à rien d’autre. 

    Soit dit en passant, c’est aussi un excellent moyen d’éviter les spams.

    3. Essayez d’utiliser une carte bancaire virtuelle pour vos achats en ligne

    Quand n’importe lesquelles de vos données fuitent, c'est un problème. Mais quand il s’agit de numéros de carte bancaires ou d'informations financières, le problème est encore plus délicat.

    Malheureusement, il faut exposer ces données si on veut profiter des boutiques et des services en ligne... N’est-ce pas ?

    Peut-être pas. Des services comme Privacy.com proposent une alternative intéressante : protéger les informations de votre carte bancaire si le site Internet sur lequel vous faites des achats est victime d'une fuite. Ces services créent une « carte bancaire virtuelle » unique pour chacun des sites sur lesquels vous souhaitez faire des achats. Vous pouvez charger ces cartes avec un certain montant et dès que vous faites des achats, vous utilisez ces cartes au lieu de votre vraie carte bancaire. En cas de fuite, vos vraies informations sont saines et sauves, alors que la carte virtuelle peut être facilement détruite et remplacée par une nouvelle carte 100 % sécurisée.

    C’est une bonne façon de vous assurer que vos données les plus précieuses sont en sécurité.

    4. Configurez une alerte Google

    Bien que vous ne puissiez rien faire pour assurer la sécurité des services et sites Web que vous consultez, vous pouvez rester sur vos gardes si une fuite se produit. Configurer une alerte Google avec les termes "fuite de données" ou "violation de données" vous permettra d’obtenir de nombreuses informations et liens sur le sujet, mais aussi d’être averti dans les 24 heures si un nouveau service ou site Web a subi une violation.

    Lisez ces articles. Même si vous n’avez jamais entendu parler du site qui a été victime d’une fuite et que vous êtes sûr à 100 % de ne l’avoir jamais visité, il y une chance, même minime, qu’il ait des données sur vous. Lisez au moins jusqu'à ce que vous sachiez ce qui a été perdu ou ce qui aurait pu être touché. Vous pourriez être surpris de voir à quel point vous êtes concerné.

    Si vous connaissez le site qui a été victime de la fuite, il faut absolument que vous déterminiez quelles données ont fuité afin de prendre les mesures de sécurité appropriées. Et ce que vous devriez toujours faire, par défaut, c’est changer votre mot de passe de tout compte associé au site qui a fuité... Et de tout autre compte qui serait protégé par le même mot de passe.

    On vous le dit et on vous le répète : chers lecteurs, ne réutilisez pas vos mots de passe.

    5. Soyez réactif

    Vous avez découvert qu'il y avait eu une fuite de données et que certaines de vos informations sensibles, telles que vos numéros de carte bancaire ou vos mots de passe avaient été divulgués.

    N’hésitez pas à passer des appels et à faire des changements. Agissez immédiatement.

    Si les entreprises communiquaient davantage sur leurs fuites de données au moment où elles se produisaient, vous auriez probablement une marge de manoeuvre. Après tout, les données divulguées sont généralement cryptées et les pirates informatiques ont besoin de temps pour les décrypter avant de pouvoir les utiliser. Mais le temps que les entreprises découvrent qu’elles ont été victimes d’une fuite (ou qu’elles le reconnaissent), quelques mois ont déjà passé et vous ne disposez plus de ce temps de répit pour vous laisser aller ou procrastiner.

    Vous devez annuler votre carte bancaire, adhérer à un service de surveillance du crédit, mettre à jour vos mots de passe... Faites tout cela dès que vous apprenez que vous êtes concerné par la fuite. C'est peut être fastidieux mais une fois que vos données sont divulguées, la question n’est plus de savoir si vous allez êtes attaqué, mais quand. Prenez ces mesures au plus vite pour réduire au maximum cette variable temps et contrer les stratagèmes que complotent les pirates avec vos données (cela peut aller d’une simple campagne de spam au vol total de votre identité).

    Pour conclure

    Tant que les entreprises généreront du profit sur la collecte et l’utilisation de données, les violations de données persisteront. C'est une des conséquences inévitables de notre monde connecté et basé sur la technologie. À part créer votre propre entreprise de sécurité ou devenir un hacker éthique (white hat), vos moyens de bloquer les pirates sont limités. Considérez les fuites de données comme une catastrophe naturelle : vous ne pouvez ni les contrôler ni les prévoir. Tout ce que vous pouvez faire, c'est vous tenir prêt et réagir rapidement. Cela ne vous sauvera peut-être pas la vie mais vous fera certainement économiser de l'argent et du stress.

    En tout cas, on l'espère.

    Connectez-vous en privé sur votre iPhone avec le VPN AVG Secure

    Essai gratuit

    Connectez-vous en privé sur votre appareil Android avec le VPN AVG Secure

    Essai gratuit
    Piratage
    Confidentialité
    Joseph Regan
    20-08-2019