Rubriques




Se connecter à

Gros plan sur les plus grandes fuites de données personnelles de l’histoire: êtes-vous concerné?

Chaque année, les données personnelles de plusieurs millions d’utilisateurs sont pillées ou laissées en accès libre par erreur. Retour sur certaines de ces fuites titanesques. On vous explique aussi comment savoir si vous êtes concerné et comment faire pour limiter les risques.

elevanky Publié le 09/07/2021 à 20:00, mis à jour le 09/07/2021 à 16:36

C’est tout récemment, en juin 2021, qu’a eu lieu "la plus grande fuite de données de tous les temps": 8,5 milliards de mots de passe dévoilés, provenant de Netflix, LinkedIn, du bitcoin... 8 milliards. 

Selon le baromètre Data Breach 2021 édité avec la CNIL et l’ANSSI, près de deux millions de français ont été touchés par des violations de données personnelles en un an. Une hausse de 20% comparé à l’année précédente.

Mails, numéro de téléphone, données médicales, profil de consommateur: une donnée personnelle, c’est toute information permettant d’identifier une personne. Mais surtout de lui associer des caractéristiques. 

Piratage et erreurs humaines

Le risque une fois ses données privées entre de mauvaises mains? Qu’elles soit revendues à des fins malintentionnés, utilisées pour profilage, du hameçonnage publicitaire et malhonnête, de l’usurpation d’identité...

 

Les menaces sont multiples. Cyberattaque de serveurs, phishing par mail (lien vers un faux site pilleur de données), logiciel “Cheval de Troie” infiltré... 

Florilège non-exhaustif de certains de ses "leaks" [fuites, NDLR] de données les plus marquants.

A la fin de cet article, vous saurez comment vérifier si vos données ont été prises dans une fuite massive ou une cyberattaque. Mais aussi comment agir ensuite ainsi qu’en amont pour l’éviter.

SocialArks, le data scraping sans protection

Social Arks est le nom d’une startup chinoise. Son service: une base de données à destination d’entreprises. Sa particularité: le data scraping, c'est-à-dire la récupération de données grattées un peu partout, notamment via les réseaux sociaux de ses nombreux clients. 

En janvier, l’entreprise de cybersécurité SafetyDetectives révèle que le fichier de données de 214 millions de comptes est en fait laissé en accès complètement libre par SocialArks, sans la moindre protection. 800 000 comptes français sont concernés. La base de données a été close depuis, mais rien ne dit que personne n’ait pu profiter de cette brèche.

Ashley Madison, données sensibles et relations extra-conjugales

DR.

A la mi-juillet 2015, un groupe de hackers, se faisant appeler la "Impact Tea", annonce avoir piraté les serveurs d’Ashley Madison, le site de rencontre extra-conjugales numéro 1 aux Etats-Unis. Ils exigent la fermeture de l’application, sinon quoi ils publieront toutes les données qu’ils ont interceptées. 

Un mois plus tard, le site existe encore et leur menace est mise à exécution, 32 millions de personnes voient leur données (et surtout leur utilisation de l’application) exposées publiquement: adresses, numéros de téléphone mais aussi pratiques et préférences sexuelles. Résultat, des internautes ont récupéré certaines de ses données pour faire chanter leur propriétaire, menant à deux suicides au Canada. 

 

Sacramento Bee, le journal victime d’un chantage au rançongiciel

Quotidien local de la ville de Sacramento, en Californie, le modeste journal a été la proie d’un hacker en février 2018. Le pirate anonyme a utilisé un rançongiciel pour pirater deux de ses bases de données majeures. 

Dans la première, les informations de contact de 53 000 abonnés au journal. Dans la deuxième, les données personnelles de 19,4 millions d’électeurs fournies par le gouvernement fédéral californien. Le quotidien a refusé de céder aux demandes de rançon et a fini par supprimer les bases de données. 

Un rançongiciel, c’est quoi ?

De la contraction de rançon et de logiciel, c’est un code informatique malveillant qui prend possession de données et les bloque. Une technique de chantage en vogue chez les pirates: l’ANSSI a dénombré 192 attaques au rançongiciel en 2020, contre 54 l’année précédente. 

Un phénomène qui a explosé en 2020, porté par une véritable économie du ransomware: de tels logiciel s’achètent et se vendent sur des forums de cybercriminels et leur utilisation a généré près de 288 millions d’euros de revenus l’année dernière, selon l’organisme spécialiste du cybercrime Chainalysis,

Par le blocage des données, on assiste parfois à des doubles extorsions: une rançon est demandée à la fois pour rendre les données, et pour ne pas les publier. 

Pour en savoir plus, vous pouvez vous rendre sur cette page dédiée sur le site de la CNIL

Facebook, élection sous influences et fuites à répétition 

Comment parler d’utilisation louche des données personnelles et ne pas parler de Facebook? On retient d’abord, évidemment, le scandale Cambridge Analytica, lorsque le géant de la Silicon Valley a transmis des données de 87 millions d’utilisateurs à leur insu à cette société. Laquelle les revendait à ses clients désireux d’analyser les opinions politiques afin d’influencer les élections américaines de 2016 en faveur de Donald Trump. 

DR.

En plus de cette transmission de données sans consentement, Facebook a souvent été dénoncé pour des failles internes. La firme a déjà été épinglé pour avoir cédé des accès aux données de ses utilisateurs à des fabricants de téléphones, mais aussi une fuite par négligence de 540 millions de comptes en 2018, la publication d’un fichier d’informations privées de 267 millions de personnes sur un forum de hackers, l’exposition publique de 6 milliards de photos privées par erreur… La totale, et la liste est encore longue. 

La dernière en date date d’il y a deux mois. En avril 2021, les informations clés des profils Facebook de 533 millions d’utilisateurs, dont 20 millions de Français, sont publiés sur Internet. Tout l’attirail des informations entrées sur Facebook deviennent accessibles : nom, prénom, date et lieu de naissance, ville de résidence, profession, statut marital... 

 

Un hacker à Pôle emploi?

Celle-ci aussi est toute récente [si vous nous lisez à l’été 2021]. En juin dernier, un hacker a affirmé avoir dérobé les informations personnelles de plus d’un million de personnes inscrites sur l’application de Pôle Emploi. Le pirate a mis en vente le fichier de données volées, avant de le retirer.

Le fichier permettait d’attribuer aux personnes hackées leur niveau d’étude, leur possession ou non du permis de conduire et d’un véhicule, jusqu’à leur domaine de recherche d’emploi. Les pistes de l’enquête mèneraient à une source interne et non à un pirate extérieur à l’organisme.

Aadhaar, les données d’un MILLIARD d’Indiens achetées pour 7 euros

Biswarup Ganguly / Wikimedia Commons.

Au début des années 2010, l’état Indien entreprend un projet fou: associer à chacun de ses citoyens un numéro d’identification associé à des données biométriques telles que la photo du visage, la forme de l’iris et les empreintes digitales. 

Nommée Aadhaar (la base), elle comporte finalement les données de près d’un milliard d’habitants, pour faire de son doigt ou son visage un identifiant unique servant à régler ses factures, payer avec sa carte bancaire, réserver un train, recevoir des aides sociales…

En plus d’être accusé de fichage de sa population, le système indien est accusé de manquements à sa cybersécurité. Rachna Khaira, journaliste du quotidien The Tribune, a voulu tester les défenses d’Aadhaar. Son investigation a débouché sur un scandale d’Etat. 

 

Pour seulement 500 roupies, l’équivalent de 7 euros, elle a pu acheter un accès aux données du milliard d’Indiens enregistrés sur la plateforme. La journaliste a pu tout simplement se procurer un compte administrateur. Le parti au pouvoir a démenti la moindre faille et la journaliste est sous le coup d’une enquête pour avoir "acheté ce service illégalement". 

Les compilations : COMB et Rock You 2021

Celles-ci ne sont pas des fuites de données à proprement parler, mais des compilations gigantesques aux chiffres ahurissants. COMB et Rock You sont arrivées en 2021. 

La première, survenue en février, est surnommée COMB, pour Compilation of Many Breaches (compilation de plusieurs brèches). Elle concerne plus de 3 milliards d'identifiants provenant de Gmail, Netflix, LinkedIn, Bitcoin… 

La deuxième, datant de ce mois de juin, a été baptisée RockYou 2021. Il s’agit en fait d’un fichier comportant plus de 8 milliards de mots de passe, collectés sur plusieurs plateformes et depuis plusieurs années.

Révélées par le site Cybernews, ces brèches aux montants faramineux ne sont pourtant pas aussi dangereuses qu’elles en ont l’air. Dans les deux "fuites", on retrouve en fait des données corrompues ou erronées, souvent déjà dévoilées ou en accès public. Pour la plupart, elles ont déjà été exploitées ou n'intéressent pas les hackers. 

De plus, les mots de passe de RockYou 2021 ne sont pas reliés à des identifiants. 

Cependant, c’est le fait que ces données soient ainsi compilées en un même fichier et revendues qui est potentiellement une menace. 

Comment savoir si vos données ont fuité? 

En France lors d’une violation de données, les organismes victime de la fuite ou de l’attaque ont l’obligation de vous informer si vous êtes concerné. 

Il existe aussi des moteurs de recherche en ligne qui vous permettent de vérifier si vos données personnelles ont été compromises. 

Le plus connu est “Have I Been Pwned”. Une fois votre adresse email entré dans la barre de recherche, le site vous indique si cet identifiant a déjà été pris dans des "leaks". 

Si la barre est verte, votre identifiant n’est pas dans les failles recensées par le site. Si elle devient rouge, alors vos données ont fuitées: la plateforme vous présente les différentes brèches dont vous avez été victimes et vous explique comment elles se sont produites.

 
DR.

L’outil Firefox Monitor se base sur le moteur de recherche de Have I Been Pwned mais propose aussi plus de renseignements sur les fuites de données récentes, ainsi qu’une rubrique dédiée aux conseils de sécurité.

Le site Cybernews, qui a révélé plusieurs fuites massives ces dernières années, a aussi  créé deux outils: l’un pour les mots de passes et un autre pour les identifiants (adresse mail et numéro de téléphone) 

Que faire si je suis concerné? 


Vos données fuitées ont probablement été vendues et exploitées à des fins frauduleuses. Dans ce cas, il vous faudra être attentif à du "phishing", des mails ou des démarchages téléphoniques malhonnêtes qui vous demandent des informations ou de l’argent. Évitez ainsi de cliquer sur des liens, ou de donner des renseignements que vous jugez non nécessaires de fournir sur des sites non fiables.

 
Tirza Van Dijk / Unsplash.

Il est aussi conseillé de changer votre mot de passe, sur ce site mais aussi sur les autres où vous utilisez le même. Les cybercriminels qui l’auraient récupéré peuvent le tester sur plusieurs sites si ils ont aussi vos identifiants. 

Pour en savoir plus sur les ressorts juridiques à actionner pour protéger vos données personnelles, retrouvez notre épisode 6 du dossier Cliquez vous êtes tracés 

Offre numérique MM+

...

commentaires

Les insultes, les attaques personnelles, les agressions n'ont pas leur place dans notre espace de commentaires.
Tout contenu contraire à la loi (incitation à la haine raciale, diffamation...) peut donner suite à des poursuites pénales.

“Rhôooooooooo!”

Vous utilisez un AdBlock?! :)

Vous pouvez le désactiver juste pour ce site parce que la pub permet à la presse de vivre.

Et nous, on s'engage à réduire les formats publicitaires ressentis comme intrusifs.