- Accueil
- Cybercriminalité
- Fuites de données à répétition : l’électrochoc ?
Fuites de données à répétition : l’électrochoc ?
Les fuites de données se suivent et se ressemblent… Après Sofinco, Meilleurtaux, Avis, Boulanger, Bayard, Cultura, Carrefour, Molotov TV, Free et SFR ces derniers mois ou semaines, c’est au tour d’Auchan, de l’hebdomadaire Le Point, de Direct Assurance et de Mediboard (application open source de gestion d’établissement de santé) de faire les frais ces derniers jours des attaques des cybercriminels.
Une étude publiée en juillet dernier par Okta, spécialiste de la gestion et de la protection de l’identité numérique, révèle que 94 % des Français interrogés s’inquiètent de l’usurpation d’identité numérique. Plus de la moitié (58 %) affirment ainsi avoir pris conscience de leur empreinte numérique au cours de l’année écoulée, notamment du fait de l’augmentation des cyberattaques (53 %) et de l’essor de l’IA (26 %).
Toujours selon l’étude d’Okta, les personnes interrogées considèrent que les services bancaires en ligne sont la première cible des cybercriminels (59 %). Fait surprenant, ils sont en revanche nettement moins préoccupés par les médias sociaux et les comptes professionnels, autres cibles courantes des cybercriminels. Seuls 3 % d’entre eux pensent que leurs profils sur les médias sociaux sont des cibles privilégiées pour les cybercriminels, bien qu’ils soient une source de données personnelles, et 4 % pensent la même chose de leurs comptes professionnels. Pourtant, les dernières enquêtes sur le sujet réalisées en 2023 révèlent que 1,4 milliard de comptes sur les réseaux sociaux sont piratés chaque mois, en majorité sur Instagram. Ces piratages permettent d’une part de récupérer un grand nombre de données personnelles, mais aussi de mener des campagnes de phishing via un profil catégorisé comme sûr.
Une autre étude, publiée par la Fédération bancaire française, confirme le fait que les Français sont de plus en plus conscients du caractère sensible de leurs données personnelles, neuf Français sur dix jugeant leurs données bancaires comme les plus sensibles.
« L’identité est la porte d’entrée de toute première expérience dans le monde numérique. Compte tenu du rôle critique qu’elle joue dans l’univers tech et réseau, il ne faut pas s’étonner que les attaques basées sur l’identité soient devenues l’une des cibles privilégiées pour les acteurs malveillants », déclare Matt Ellard, SVP, GM EMEA chez Okta.
Free : une exfiltration de données qui touche 19 millions de clients
La fuite de données massive dont a été victime fin octobre l’opérateur Free a particulièrement marqué les esprits. Il y a de quoi : 19 millions de clients ont vu leurs données exfiltrées, dont cinq millions d’IBAN. « La vente des données des clients de Free est très préoccupante. Elle permettra aux cybercriminels d’obtenir des informations précises sur les clients et de les tromper beaucoup plus facilement. Imaginez recevoir un appel d’un ‘conseiller’ qui montre patte blanche en vous communiquant votre IBAN : il y a de quoi lui faire confiance beaucoup plus facilement et tomber dans le piège », note Loïc Guézo, Directeur de la stratégie cybersécurité chez Proofpoint.
« Nous pouvons nous attendre à de nombreuses tentatives de smishing dans les semaines à venir. Cette attaque rappelle une nouvelle fois à quel point la protection de l’information est primordiale, une fuite de donnéesdonnée de cette ampleur faisant peser un risque énorme sur les citoyens français, encore trop peu conscients des risques de sécurité », complète Loïc Guézo.
Le numéro de téléphone, une donnée aussi stratégique que l’empreinte digitale
Parmi les informations sensibles disséminées sur le dark web figure une donnée clé : le numéro de téléphone. Ce dernier est devenu, au fil des années, un facteur d’identification essentiel permettant de s’authentifier sur une multitude de plateformes : réseaux sociaux, services en ligne, applications bancaires… Avec la généralisation de l’authentification à deux facteurs, le détournement d’un numéro peut engendrer un accès non autorisé à des données très précieuses.
Or, avec les millions de jeux de données dont disposent les pirates suite aux fuites de données récentes (nom, adresse postale, e-mail…), il leur est possible de contacter l’opérateur téléphonique d’une personne et de lui faire attribuer son numéro à une nouvelle carte SIM sur laquelle ils ont le contrôle. Cela leur permet par la suite d’intercepter tous les messages envoyés à ce numéro, comme les mots de passe à utilisation unique leur donnant accès à des comptes personnels et financiers. Les victimes ne se rendent généralement compte de l’arnaque qu’au moment où leur réseau mobile devient défaillant, ou lorsqu’ils constatent des activités suspectes sur leurs comptes.
« Dans un monde interconnecté, les numéros de téléphone sont devenus, à l’instar de l’empreinte digitale, un identifiant personnel très utilisé, et il est essentiel de les sécuriser. En reconnaissant les risques d’utilisation abusive et le potentiel de compromission, il est possible de prévenir d’importantes pertes. De plus, la vigilance associée à des solutions de cybersécurité éprouvées, permet de créer un système de défense robuste contre diverses cybermenaces », commente Anna Larkina, Web Analyst Expert chez Kaspersky.
Des bonnes pratiques qui commencent à rentrer dans les habitudes des utilisateurs
Suite aux récentes attaques menées contre les entreprises françaises précédemment citées, une chose est certaine : ces incidents contribuent à une forme de sensibilisation « forcée » des citoyens aux pratiques de base de la « cyber-hygiène ». Selon l’étude de la Fédération bancaire française, les Français témoignent d’une bonne connaissance des différents types d’arnaques en ligne comme le « phishing » (87 %), la fraude du faux conseiller bancaire (85 %, +3 points) ou la fraude aux sentiments (82 %, +2 points).
Et lorsqu’ils reçoivent un message suspect, plus de la moitié des Français indiquent ne pas le consulter ni le transmettre (55 %), une proportion en hausse de 4 points en un an. De plus, ils sont moins nombreux à répondre aux diverses sollicitations douteuses qu’ils reçoivent, notamment les appels de leur conseiller bancaire les invitant à réaliser des opérations à distance (19 %, -5 points), ou les messages / emails de leur banque les invitant à cliquer sur un lien (16 %, -4 points).
Les plus jeunes sont en revanche moins inquiets vis-à-vis de la protection de leurs données personnelles que la moyenne des Français : 79 % des moins de 35 ans estiment que leurs données bancaires sont sensibles contre 90 % en moyenne. De ce fait, ils apparaissent moins prudents en matière de pratiques de cyberprotection, notamment en ce qui concerne le partage des données bancaires et la gestion des mots de passe. Ainsi, 53 % enregistrent leurs données bancaires sur les sites de vente en ligne (contre 31 % en moyenne) et seuls 69 % utilisent des mots de passe longs, complexes et différents entre chaque compte (contre 75 % en moyenne).
« Méfiez-vous des courriels, textes ou appels non sollicités, en particulier s’ils vous suggèrent d’entreprendre une action ‘urgente’ ou d’effectuer un paiement. Ne communiquez jamais de données financières ou de mots de passe par courrier électronique ou par SMS. Appelez toujours votre banque directement si une demande vous semble suspecte. Il est également important de créer un mot de passe unique pour chaque compte en ligne que vous utilisez. Utilisez trois mots aléatoires pour créer un mot de passe fort et mémorable et activez l’authentification multifactorielle lorsque c’est possible », rappelle Loïc Guézo.
Il est également conseillé de surveiller régulièrement ses comptes bancaires pour détecter toute transaction suspecte. En cas de prélèvement non autorisé, il est nécessaire de contacter immédiatement sa banque pour signaler l’anomalie et demander le remboursement. Quant aux mots de passe des comptes fournis par les entreprises ayant été victimes de fuites de données, il est fortement conseillé de les modifier.
la newsletter
la newsletter