Données personnelles : que peuvent faire les pirates avec vos identifiants et mots de passe ?

Article mis à jour le 

Vous n'êtes pas sans le savoir : les cyber-attaques, à savoir les intrusions informatiques, font désormais partie du quotidien. À tel point qu'un certain nombre de grandes entreprises comme Spotify ou eBay sont elles aussi touchées par le phénomène.

Orange, Target, eBay, Spotify… autant d'entreprises ayant été contraintes, et ce depuis le début de l'année, d'informer leurs clients d'une cyberattaque. Résultat : les données personnelles d'un certain nombre d'utilisateurs ont été volées par des individus suite à une intrusion sur les serveurs des firmes. Dans la plupart des cas, les internautes redoutent que les pirates aient mis la main sur les informations bancaires. Mais ce que beaucoup ignorent est qu'il suffit d'un nom et d'un prénom, d'une adresse mail, d'un numéro de téléphone ou d'une simple date de naissance pour accéder à de nombreuses informations confidentielles. Des données qui semblent anecdotiques mais qui ne le sont pas. D'où la nécessité, comme le souligne la Commission nationale de l'informatique et des libertés (Cnil), pour l'internaute de prendre soin de ces données, et d'avoir conscience de leur valeur.

Un e-mail récupéré sur un site est une donnée inestimable

Mais en pratique, que peuvent bien faire des pirates malveillants accédant à ces données ? Pour le chercheur spécialisé en sécurité informatique, par ailleurs directeur de recherche de l'ESIEA, quelqu'un peut grâce à cela récupérer un acte de naissance voire un formulaire d'état civil. Pire, si la personne malintentionnée dispose d'une photo, il peut alors usurper l'identité de l'utilisateur.

Certes, ces types de situation sont relativement rares mais de simples adresses mail obtenus sur le serveur d'une firme sont une véritable mine pour ceux s'adonnant au phishing – cette fameuse pratique consistant à se faire passer pour un organisme en utilisant son logo et son nom. C'est ainsi que certains pirates sont à même d'envoyer un million d'e-mails à des internautes en se faisant passer par exemple pour eBay. Or, si ceux ne disposant pas d'un compte eBay se rendent compte qu'il s'agit d'un hameçonnage, ce n'est pas forcément le cas des autres. Ce qui augmente alors les chances de réussir l'attaque.

Comme le met en évidence la Cnil, en admettant que 45 millions de clients eBay soient touchés par le piratage des serveurs de la firme et qu'1 % d'entre eux réponde aux mails de phishing, la situation serait catastrophique.

Le pire : la récupération du mot de passe

Évidemment, la situation la plus périlleuse est lorsqu'un pirate parvient à récupérer le mot de passe d'un utilisateur, et ce surtout si celui-ci utilise le même pour l'ensemble des sites et services où il dispose d'un compte. Pourquoi ? Parce que le pirate sera alors à même de se faire passer pour lui sur les sites en question mais aussi recueillir de nombreuses informations le concernant. Soit une véritable mine d'or pour qui souhaite réaliser un ciblage précis pour envoyer des mails frauduleux. En outre, nombreux sont les sites de commerce, à l'instar d'Amazon, à sauvegarder les numéros de carte bleue.

La Cnil rappelle toutefois que des outils en ligne sont disponibles pour se créer une adresse mail renvoyant vers sa vraie adresse mail. C'est le cas du service jetable.org. Une solution anti-spam efficace dont la durée de validité est paramétrable, de 1 h à un mois. De même, les gestionnaires de mots de passe sont recommandés, comme Keepass. Enfin, la Cnil estime qu'il est préférable de se servir de pseudonymes et de fausses informations lorsqu'une plateforme n'a pas de raison de disposer de données comme la date de naissance ou le nom de famille.

Sources : cnil,  latribune, 20minutes, bilan, lexpress