Un ami m'a fait parvenir cet article. Dans lequel on peut apprendre qu'une énorme fuite de données à eu lieu. Des milliards de dossiers provenant de différentes plateformes comme MySpace, X, Deezer, LinkedIn etc ... Pour un total de 12To !!! C'est juste faramineux !

À quoi ça sert tout ça ?

Comment les pirates peuvent-ils se servir de ces données afin de nous nuire ? Une des possibilités est de se servir de toutes ces informations pour faire du phishing ciblé. Le phishing étant une pratique consistant à envoyer des courriels frauduleux en masse et attendre qu'un des destinataire morde à l'hameçon (d'où le terme phishing).

Exemple, créons un courriels avec en en-tête le logo d'une banque très connue, un texte relativement vague commençant par "Madame, Monsieur" et indiquant qu'il est nécessaire de se reconnecter au site de la banque pour une raison X ou Y en mettant en avant un lien. Lien qui, bien entendu, ne mènera pas vers le site de la banque, mais vers un site tenu par une personne malveillante, mais qui ressemblera comme deux gouttes d'eau à l'original. Lorsqu'une personne suivra ce lien, croyant être sur le vrai site de la banque, renseignera elle-même les identifiants et mot de passe pour se connecter, qui seront alors enregistrés par le site.

Le problème avec cette méthode c'est qu'elle mise sur une masse de courriels envoyés. Si vous recevez un tel courriel, mais que vous êtes dans une banque concurrente, vous comprendrez immédiatement que ce courriel ne vous est pas adressé. Direction la corbeille ! Finalement seul un petit pourcentage de cette masse de courriels envoyés seront susceptibles de convaincre les utilisateurs de cliquer sur le lien.

Comment faire mieux ?

C'est là que rentre en jeu les fuites de données. Que se passe-t-il si le pirate en question SAIT dans quelle banque vous êtes ? Que se passe-t-il s'il SAIT comment vous vous appelez ? Vous commencez à comprendre ? Il pourra créer un courriel avec :

• le nom et le logo de votre banque
• votre nom et prénom
• votre adresse physique
• prétextant un problème sur votre compte associé à votre numéro de téléphone
• suite à un achat que vous aurez effectué sur un site que vous visitez régulièrement
• etc ...

Un courriel vraiment personnalisé rien que pour vous ! Tous les indices laissés dans ce courriel vous pousseront à avoir confiance en lui et à cliquer sur le lien.

Que faire ?

Dans un premier temps, pas de panique ! Vous pouvez commencer par vérifier si effectivement la fuite vous concerne ou non. Dans l'article cité il propose un outil pour vérifier ça, ou bien encore faire un tour sur https://haveibeenpwned.com/

En renseignant vos adresses courriels, ces outils vous diront si elles apparaissent dans des fuites de données et lesquelles. Si effectivement c'est le cas, alors il va falloir prendre les devants ! Par exemple si vous voyez quelque chose comme ceci : Cela signifie que les données ont fuitées depuis le site wattpad, le minimum est donc de changer le mot de passe utilisé sur ce site. C'est bien le minimum à faire, car j'imagine que ce mot de passe là est utilisé sur différents sites pour différents comptes, ne mentez pas on l'a tous fait ! On a tous, à un moment ou un autre, eu la flemme d'imaginer un nouveau de mot de passe pour une inscription et réutilisé un ancien qu'on connaît bien. Il ne faut plus faire ça ... Car dans ce genre de cas, ce n'est pas juste le compte wattpad qui peut être détourné, mais tous les comptes qui utilise ce même mot de passe ... Car les pirates sont malins et se fabriquent des dictionnaires avec les mots de passe les plus courants plutôt que d'essayer toutes les combinaisons possible.

Pour aller plus loin

Une fois les mots de passe incriminés changés, voici quelques conseils :

Un mot de passe doit être long et complexe. Pour avoir une idée rendez-vous sur ce site, vous y trouverez le tableau suivant : Qui correspond au temps qu'il faut pour casser un mot de passe en testant toutes les possibilités, sur un ordinateur personnel ! Pas un supercalculateur, un ordinateur que tout le monde peut acheter dans le commerce ! Notez qu'un mot de passe de 10 caractères composé de lettres minuscule et majuscule, de chiffre et de caractères spéciaux, ne prend que 2 semaines à être cassé. En d'autres termes, un tel mot de passe n'a une durée de vie que de 2 semaines. Pour être sûr d'être tranquille visez un mot de passe à 15-16 caractères, là, même si l'attaquant possède beaucoup de puissance de calcul ça ne sera pas possible pour lui de casser votre mot de passe durant sa vie.

Un mot de passe doit être unique. Comme abordé un peu plus haut, on a déjà tous utilisé un même mot de passe pour s'enregistrer sur plusieurs sites. Il faut arrêter. Pour chaque site, pour chaque compte, vous devez avoir un mot de passe différent. De cette manière lors d'une fuite de données, les comptes pourront être géré indépendamment.

Utiliser un générateur de mot de passe. Pour ma part j'utilise le programme keepassXC. Qui permet de générer des mots de passe à rallonge et de les enregistrer dans une base de données chiffrée.

Ne pas cliquer sur les liens dans les courriels. Il est tentant et facile de cliquer sur les liens dans les courriels. Cependant si vous êtes avertit d'un problème sur un de vos comptes, il est préférable d'ouvrir un navigateur et d'aller manuellement sur ce site, en rentrant l'adresse en question. Afin de vous assurer d'être effectivement au bon endroit. Vous pourrez alors vérifier s'il y a bien un problème ou non. S'il n'y a pas le problème décrit dans le courriel, détruisez le sans hésitation.