Zoom | Fuites de données : une aubaine pour les cybercriminels
La dernière fois, notre expert Sécurité vous parlait du phishing, une technique d’attaque utilisée par les hackers, qui reste la 1ère cause de violation de données*. Mais avant même de comprendre comment celles-ci sont utilisées, il faut savoir ce qui contribue à leur fuite et vient donc alimenter cette pratique frauduleuse.
Aujourd’hui, lorsqu’on suit activement les actualités liées à la sécurité des données, pas une seule semaine ne se passe sans apprendre une nouvelle histoire de fuite. Car outre les opportunités et le champ des possibles qu’offre le numérique, il s’accompagne aussi d’inconvénients.
Que deviennent mes données ? Suis-je concerné par l’attaque ? Dois-je agir ? La majorité des personnes touchées pensent que leur login et leur mot de passe sont impactés en priorité. À tort. Effectivement, ces données sont importantes et sensibles, mais ce ne sont malheureusement pas les seules qui intéressent les cybercriminels.
Les médias, vecteur d’information essentiel pour les hackers
Vous n’y auriez pas forcément pensé, et pourtant, cela est d’une grande logique. Les médias, aujourd’hui grande source d’information, relayent systématiquement les fuites de données des grandes entreprises. Une chance pour les hackers qui obtiennent tous les renseignements nécessaires sur leurs potentielles victimes.
En 2017, Equifax est victime d’une fuite de données massive concernant 143 millions de ses utilisateurs. Parmi les éléments diffusés sur ces derniers : noms, numéros de sécurité sociale, dates de naissances, adresses et cartes grises des utilisateurs. Suite à cela, la société a mis à disposition un site web sur lequel les internautes étaient invités à saisir leurs données personnelles pour savoir s’ils étaient concernés par le vol. Les hackers ont saisi cette opportunité pour usurper l’identité de l’entreprise et proposer un faux site. Si ressemblant au légitime, que les utilisateurs s’y sont fait prendre et ont communiqué leurs données personnelles (comme leur adresse email) au mauvais endroit. Résultats : une base de contacts offerte sur un plateau aux cybercriminels et prête à l’emploi.
Les deux années qui ont suivi, Vade Secure, spécialisée en défense prédictive de la messagerie, a détecté 38 537 tentatives de phishing liées à la même entreprise*. Lesdites violations provenaient donc cette fois-ci d’emails imitant les alertes de sécurité provenant des banques notamment Bank of America, Wells Fargo et Chase. C’est ce qu’on appelle familièrement le « double effet Kiss Cool », un effet secondaire, une conséquence.
Ce cas, parmi tant d’autres, met facilement en exergue les fuites de données comme accélérateur de phishing.
Comment protéger vos données face au phishing ?
Au cours des 9 premiers mois de 2019, 7,9 milliards de comptes ont été exposés dont plus de 5 183 violations de données signalées*. C’est 112% de plus qu’en 2018.
Pour éviter de faire partie de la prochaine vague de campagnes de phishing, c’est avant tout et en un premier temps, une question de bon sens. Plus vous limitez la quantité de données que vous fournissez à Internet, moins vous risquez de retrouver vos informations en vente sur le marché noir.
Par ailleurs, il existe plusieurs reflexes et bonnes pratiques à adopter. Le premier rempart est votre mot de passe. S’il n’est pas suffisamment complexe, il peut être facilement décrypté par les cybercriminels qui auront donc accès à vos données. D’autant qu’il existe désormais des gestionnaires de mot de passe tels que Dashlane ou encore LastPass qui peuvent vous aider. À cela, peut s’ajouter lorsque c’est possible, l’authentification multi-facteurs gérée par une application telle que Google Authenticator ou encore Microsoft Authenticator.
Aussi, veillez à mettre régulièrement vos systèmes à jour. Avec celles-ci, viennent souvent des correctifs augmentant le niveau de sécurité.
Quelques soient les mesures que vous prendrez, elles sont essentielles pour vous protéger d’une part, mais aussi protéger votre entreprise contre la menace que pose le phishing lié à la fuite de données. À ne surtout pas prendre à la légère !
*Sources : Verizon ; Vade Secure ; Risk Based Security