La fuite de données : tous concernés

 

La fuite de données : tous concernés

Cloud8.png

La fuite de données (ou data leak/data breach) correspond à la publication ou transmission non autorisée d’informations privées.

Il existe différents types de fuite de données:

  • le vol de votre équipement informatique,
  • les fuites de données issues de prestataires de services tiers,
  • les actions de votre entourage proche ou éloigné (comme la diffusion de contenu sensible)

Ce type d’actions entraîne la diffusion de données personnelles, mais aussi de contenu divers et de données d’identification comme vos mots de passe, etc.

Les différentes causes des fuites de données

La perte ou le vol de votre matériel (ordinateurs, téléphones, etc.)

Vos appareils stockent vos données personnelles. La perte ou le vol de votre ordinateur ou smartphone permet à un autre individu d’accéder à ces données. Par exemple, pour utiliser un smartphone il est souvent nécessaire de créer un compte et d’y intégrer vos identifiants bancaires afin de faciliter l’achat d’applications. Si votre appareil tombe entre de mauvaises mains, une personne malintentionnée pourrait utiliser vos données bancaires, mais aussi les données de connexion à vos comptes sur les réseaux sociaux, etc. Attention aux mots de passe enregistrés dans votre équipement via notamment le gestionnaire de mots de passe de votre navigateur. En cas de vol de matériel, changez les mots de passe concernés.

Le piratage de prestataires (banques, réseaux sociaux, entreprises etc.)

Le prestataire tiers peut aussi être victime d’un piratage et vos données peuvent elles aussi courir un risque et se retrouver sur Internet. On peut prendre pour exemple le cas d'une grande entreprise en 2014. Des pirates avaient volé les données personnelles des utilisateurs des services qui ont pu ainsi retrouver leurs numéros de sécurité sociale, leurs salaires et leurs adresses postales sur la toile. Il en va de même pour les réseaux sociaux, si le site est victime d’un piratage, vos données peuvent également être rendues publiques.

Un cas récent, la fuite des données de l'entreprise de jouets connectés VTECH, consultez notre article: Jouets connectés au Luxembourg : 5014 profils d’enfants résidents dans la nature.

Les personnes de votre entourage

Des personnes de votre entourage peuvent également diffuser des données que vous ne souhaitiez pas rendre publiques. Par exemple, un proche pourrait diffuser volontairement une photo de vous pour nuire à votre réputation. Mais la publication d’une photo de vous sur les réseaux sociaux pourrait également être faite sans penser à mal et vous mettre dans l’embarras (car vous n’aviez pas pensé que cette photo finirait en ligne). À vous de mettre en place les mesures de sécurisation adéquates en fonction des risques auxquels vous êtes exposés.

 

Types d’actions criminelles liées aux fuites de données

Le social engineering

Le social engineering est une des techniques les plus utilisées par les criminels sur Internet. Cette attaque repose sur le principe de l'abus de confiance. Une première étape nécessaire pour l'attaquant consiste à trouver le maximum d'informations vous concernant, pour ensuite exploiter ces données afin de parvenir à ses fins. Si vos données sont facilement accessibles sur Internet, une personne malintentionnée pourrait utiliser ces informations et se faire par exemple passer pour vous auprès de tiers. Les conséquences peuvent être très graves, sachant que cette attaque est parmi celles les plus utilisées dans le domaine de la criminalité informatique. Méfiez-vous de vos correspondants, et faites toujours preuve de vigilance.

Le phishing

Le phishing ("hameçonnage") consiste en l'utilisation d'informations personnelles afin de réaliser des actions criminelles de masse ou plus précises (Spear phishing). Par exemple, si une organisation fait l'objet d'une fuite de données contenant les adresses mails des clients, un individu mal intentionné pourrait faire usage de ces informations afin d'envoyer de faux e-mails accompagnés de liens malicieux en se faisant passer pour l'organisation auprès de ses clients. Les campagnes de phishing ne sont pas forcément liées à des fuites de données, mais la plupart des fuites de données génèrent de telles campagnes.

Pour plus d’informations sur le phishing, cliquez sur ce lien: https://www.bee-secure.lu/fr/outils/glossaire/phishing.

Le chantage

Des personnes malintentionnées peuvent utiliser vos données contre vous. Certains attaquants pourraient vous contacter pour vous faire chanter avec des données particulièrement sensibles. Ne cédez en aucun cas au chantage et dans le cas où l'on vous demanderait une somme d'argent, ne payez pas. N'hésitez pas à contacter la Police.

Le trafic de données volées

Vos données (données bancaires, nom, adresse postale/mail, date de naissance, numéro de sécurité sociale, etc.), même volées, ont une valeur. Toutes ces informations sont vendues à des prix qui varient en fonction de l’intérêt et de la qualité de celles-ci sur des marchés parallèles.

Les données volées sont parfois revendues et exploitées longtemps après leur vol. Mieux vaut être vigilant et prendre toutes les mesures de protection possibles, même si une fuite de données ne semble avoir aucun impact immédiat.

Pour plus d'informations, n'hésitez pas à consulter notre article fuite de données - tous concernés.

 

Rappels de sécurité...

Le chiffrement

Chiffrez autant que possible vos équipements, les informations contenues et vos données personnelles de façon à ce que personne ne puisse y accéder en cas de vol. Il existe de nombreuses applications et logiciels de chiffrement, renseignez-vous. Les smartphones récents proposent tous le chiffrement des données stockées sur le terminal. Cette option est à activer, en même temps que celle qui permet de localiser un appareil volé et d’en effacer les données à distance. De même, certains Cloud disposent d'options de chiffrement.

Utiliser la double authentification

Sur la plupart des sites, il vous est possible de confirmer votre identité pour toutes les opérations importantes liées à la gestion de votre compte par la double authentification comme la réception d’un SMS. N’hésitez pas à recourir à cette méthode, qui est beaucoup plus sécurisée que l'approche dite des "questions de sécurité" pour lesquelles les réponses sont en général des informations publiques accessibles sur les réseaux sociaux.

Les données sensibles

Ne publiez pas de documents ou données sensibles sur le Cloud. Partez du principe qu'une fuite de données peut toujours finir par se produire. En théorie, si un prestataire vous dit que sa solution Cloud est sécurisée, elle l'est. Pour autant, la pratique peut faire qu'une solution sécurisée devienne faillible.

Les mots de passe

N’oubliez pas de sécuriser votre connexion avec un mot de passe long et difficile à deviner. Et n’utilisez pas le même mot de passe pour des comptes différents.

La fuite de données d’un prestataire tiers

Lorsqu'un prestataire est victime d’une fuite de données, vos données peuvent se retrouver dans la nature.  Une entreprise n'a pas l'obligation de vous informer proactivement, sauf cas particulier, d'une fuite de données dont elle aurait été victime. Pour autant, la législation sur la protection des données vous garantit un droit d'information. Si vous entendez parler d'une fuite de données issue d'une organisation ou entreprise à qui vous auriez transmis vos informations personnelles, n'hésitez pas à appeler cette organisation pour savoir quelles sont les données vous concernant qui ont réellement ou potentiellement été volées.  Consultez nos alertes pour vous tenir au courant des fuites de données qui pourraient vous concerner.

 

 

Cliquez ici pour télécharger cette fiche

dataleak.png

PDF iconBEE-SECURE-clevercloud-dataleak_FR.pdf