Cyberattaques: Que peuvent faire les pirates avec vos données?

HIGH-TECH Les intrusions informatiques sont de plus en plus fréquentes. Les grandes entreprises comme eBay ou Spotify ne sont pas épargnées…

Anaëlle Grondin

— 

Une femme surfe sur Internet. Illustration.
Une femme surfe sur Internet. Illustration. — Lionel Bonaventure AFP

Snapchat, Orange, Target, eBay, Spotify… Depuis le début de l’année, plusieurs grandes firmes ont dû annoncer une mauvaise nouvelle à leurs millions de clients. Ces entreprises ont constaté que les données personnelles de certains utilisateurs avaient été dérobées par des individus malveillants après une intrusion sur leurs serveurs.

Généralement, les internautes tremblent à l’idée que des pirates aient pu avoir accès à leurs informations bancaires. Mais un nom, un prénom, une adresse e-mail, un numéro de téléphone et une date de naissance sont des informations tout aussi sensibles. «Ce sont des données qui ont l’air anodines mais qui ne le sont pas», assure Eric Filiol, chercheur spécialisé en sécurité informatique et directeur du centre de recherche de l’ESIEA. Matthieu Grall, chef du service de l’expertise technologique à la Commission nationale de l’informatique et des libertés (Cnil), renchérit: «L’internaute doit avoir conscience que ces données ont une valeur importante».

Un simple e-mail récupéré sur un site est une donnée précieuse

Concrètement, que peuvent faire des personnes malintentionnées ayant accès à ces informations? «Quelqu’un peut récupérer un acte de naissance ou un formulaire d’état civil», affirme Eric Filiol. Avec une photo en bonus, un pirate peut usurper l’identité d’un utilisateur.

Sans aller jusque-là, de simples adresses e-mail récupérées sur le serveur d’une entreprise sont très utiles à ceux qui pratiquent le phishing (ou hameçonnage), qui consiste pour un fraudeur à se faire passer pour un organisme en utilisant son logo et son nom. «Ils envoient un million d’e-mails à des gens en se faisant passer pour eBay, par exemple. Tous ceux qui n’ont pas un compte eBay savent que c’est une arnaque, or en ciblant une personne qui a un compte sur le site et en lui envoyant un e-mail bien fait, ils augmentent la probabilité de succès de l’attaque», explique Eric Filiol.

«Si 45 millions de clients d’eBay sont concernés par le piratage de ses serveurs, imaginons qu’1% réponde à ces mails de phishing, c’est un désastre, insiste Matthieu Grall de la Cnil. Plus les pirates auront d’informations sur un utilisateur, plus il sera possible de lui faire croire qu’on le connaît pour obtenir d’autres informations comme des données bancaires ou des mots de passe.»

Votre mot de passe = le Graal

La récupération d’un mot de passe se révèle encore plus embêtante pour un utilisateur, en particulier s’il utilise le même pour tous les services en ligne auxquels il a souscrit. Non seulement le pirate pourra se faire passer pour lui sur les sites qu’il fréquente mais pourra accéder à davantage d’informations sur lui, connaître ses goûts, et encore une fois le cibler très précisément lors d’envoi d’e-mails frauduleux. De plus, plusieurs sites de commerce comme Amazon conservent les numéros de carte bleue pour de futurs achats.

Matthieu Grall indique qu'«il existe des outils en ligne comme le site jetable.org permettant de créer une adresse e-mail qui renvoie vers sa véritable adresse e-mail». «C’est très pratique, elle a une durée de validité d’un mois. Une fois que j’ai fait mon achat, rien de m’empêche de me reconnecter à ce compte que j’ai été obligé de créer et de le supprimer», explique-t-il. Le chef du service de l’expertise technologique de la Cnil conseille par ailleurs d’«utiliser des pseudonymes à la place de son nom et de fausses données quand un site n’a pas réellement besoin d’informations privées comme votre date de naissance».

>> Lire notre article: Comment éviter de se faire pirater ses données personnelles sur Internet?