La CNIL a récemment infligé des amendes à Free et France Travail pour des manquements relatifs à la sécurisation des données personnelles de leurs usagers. Ces dernières sont une véritable mine d’or pour les cybercriminels et les utilisateurs ne peuvent que constater les dégâts.
Votre identité est-elle déjà aux enchères ? Les données confidentielles d’1,2 million de comptes bancaires ont été consultées de manière “illégitime” depuis la fin du mois de janvier, a annoncé le ministère de l’Économie dans un communiqué, mercredi 18 février.
Récemment, la CNIL (Commission Nationale de l’Informatique et des Libertés) a imposé une amende de 42 millions d’euros et sanctionné France Travail de sanctions historiques en raison d’actes de piratages ayant occasionné la fuite des données de ses clients. Ces condamnations laissent apparaître une réalité plus sombre : vos données personnelles ne sont plus de simples fichiers, mais des produits marketing sur un “LeBonCoin” du crime.
Entre piratage opportuniste et structures quasi entrepreneuriales, découvrez pourquoi, une fois aspirées, vos informations deviennent techniquement et juridiquement impossibles à effacer. Car bientôt, d’autres organisations pourraient subir le même sort, à l’image de La Poste ou de la Fédération française de tir et celle de chasse, toutes trois victimes de cyberattaques dans les derniers mois. Cette tendance est observée depuis plusieurs années et davantage médiatisée, explique Corinne Henin, experte près la cour d’appel de Montpellier en informatique et cybersécurité.
“Avant l’entrée en vigueur du Règlement général sur la protection des données (RGPD), les entreprises victimes de vols de données avaient plutôt tendance à cacher ces incidents pour ne pas nuire à leur image de marque. Désormais, elles ont une obligation légale de communiquer.” Acculées à la transparence, ces organisations ne peuvent plus dissimuler leurs failles.
Les rouages du phishing
En effet, les vulnérabilités se multiplient et les cybercriminels, toujours plus nombreux, en profitent assez facilement. S’il est difficile de définir un profil type, il existe néanmoins deux grandes catégories de pirates. “Vous avez d’un côté l’opportuniste, qui attaque un peu au hasard en utilisant des outils automatisés pour trouver une faille n’importe où. De l’autre côté, on trouve des groupes criminels extrêmement organisés. Ces derniers disposent de structures quasi entrepreneuriales”, note Corinne Henin.
Si leurs techniques évoluent sans cesse, la finalité demeure identique : le siphonnage des données. “Ils s’intéressent à tout ce qui peut leur ouvrir une porte : les cookies de navigation sont une cible de choix, mais les mots de passe également. Pour eux, toute information est bonne à prendre car elle possède une valeur marchande”, poursuit notre experte. Mais à quoi servent-elles une fois qu’elles ont été volées ?
Majoritairement à du phishing, ce terme anglophone qui désigne le hameçonnage qui va permettre de cibler personnellement la victime. “Si je reçois un mail prétendant venir de ma banque et que l’expéditeur connaît mon nom, mon prénom, ma date de naissance et mon numéro de compte, je serai bien plus enclin à le croire et à cliquer sur le lien piégé”, explique tout simplement Corinne Henin.
Les usagers impuissants
Ces données peuvent également circuler sur des forums spécialisés et les criminels publient des petites annonces comme vous publieriez la vente de votre voiture sur LeBonCoin. “Par exemple, si votre nom apparaît dans la base de données de la CAF piratée il y a quelques mois et dans celle de Free l’année dernière, ils procèdent à un “recoupement de fichiers” pour constituer des profils exhaustifs, augmentant ainsi la valeur de revente.. Ensuite ils disent : ‘Vend base de 3 millions de profils avec numéros de Sécurité sociale, téléphones et adresses’. C’est exactement comme un fichier client marketing, mais pour des activités criminelles”, expose l’experte en cybercriminalité.
Pour l’usager dont les informations ont fuité, obtenir leur suppression définitive relève d’une mission impossible. “C’est techniquement et juridiquement quasiment impossible. Même si les autorités parviennent à faire fermer un serveur, rien ne garantit que la base n’a pas été copiée ou revendue des dizaines de fois ailleurs. Une fois volées, elles sont impossibles à rattraper”, argumente encore Corinne Henin. Du côté du particulier, porter plainte est complexe car il faut prouver un préjudice direct lié spécifiquement à cette fuite, ce qui s’apparente à un véritable parcours du combattant.