Sans le savoir, vous offrez aux hackers des données invisibles

CYBERSECURITE Empreintes digitales, données GPS des photos, réponses aux questions prétendues «secrètes»...: des données sensibles se cachent sur ce que vous publiez sur les réseaux sociaux, même si l'essentiel du risque se concentre sur des informations livrées plus directement encore...

Annabelle Laurent
— 
Neymar et ses empreintes bientôt empruntées?
Neymar et ses empreintes bientôt empruntées? — MIGUEL SCHINCARIOL / AFP

Le « V » de la victoire pourrait être celui des hackers. Un chercheur japonais avertissait début janvier contre le danger contenu dans ce signe parfois associé aux selfies: en montrant vos doigts, vous courez le risque de vous faire voler vos empreintes digitales, prévient Isao Echizu.

Alors que les «données sont le pétrole du 21ème siècle », comme on l'entend à l'envi, nous avons une fâcheuse tendance à livrer les nôtres, intentionnellement, sur les réseaux sociaux, en négligeant bien souvent les règles de confidentialité ou l’utilisation commerciale qui est leur est destinée. Mais la vigilance se complique quand on n’a même pas conscience qu’une donnée en est une…

Attention aux données invisibles…

Permettez-moi d'emprunter vos empreintes

Avec la haute résolution des photos prises par les smartphones, une opération - assez complexe, toutefois, et loin d'être à la portée de tout le monde - peut permettre de récupérer les empreintes. « Or à l’inverse des mots de passe, les empreintes, une fois volées, ne pourront jamais être changées», rappelle à 20 Minutes Gérôme Billois, expert cybersécurité au cabinet Wavestone.

Il note que si l’avertissement du professeur japonais a fait le tour du monde, « on connaissait le risque depuis 2014 »: un hacker avait montré lors d’une conférence qu’il était parvenu à cloner les empreintes digitales de la ministre allemande de la Défense. Depuis, les empreintes digitales sont de plus en plus utilisées, pour déverrouiller smartphones, objets connectés ou pour réaliser certains paiements.

Des photos très bavardes

Autre donnée invisible, la géolocalisation associée aux photos, la grande majorité étant prise aujourd’hui par des smartphones équipés d’une puce GPS (qui ne sert pas qu’à vous guider sur la route jusqu’à Palavas-Les-Flots). Aux images numériques sont associées tout un ensemble de métadonnées, qui «peuvent renseigner la date, l'heure, voire les données GPS de l'image, la marque, le numéro de série de l'appareil ainsi qu'une image en taille réduite de l'image originale», comme le précise We Fight Censorship, qui indique la marche à suivre pour nettoyer ces métadonnées.«Internet abonde de ces images floutées dont le fichier EXIF contient toujours le document avant floutage», lit-on encore. 

En septembre dernier, deux étudiants de Harvard ont pu démasquer 229 dealers grâce aux coordonnées géographiques contenues dans les métadonnées associées à des photos qu'ils avaient prises et postées en ligne. 

En huit tweets, tout est dit 

Sur Twitter, si la géolocalisation des tweets est désactivée par défaut, beaucoup l’activent. En mai dernier, des experts du MIT et d’Oxford démontraient que huit tweets (d’utilisateurs pour lesquels la géolocalisation est activée) suffisaient à localiser quelqu’un de façon très précise. « Il est extrêmement simple pour des personnes avec très peu de connaissance technique de trouver où vous travaillez ou vivez », expliquaient-ils, à l’issue d’une expérience concluante.

Sur Twitter, dans Moi / Paramètres / Comptes et confidentialité, vérifiez que vous décoché la case
Sur Twitter, dans Moi / Paramètres / Comptes et confidentialité, vérifiez que vous décoché la case - Twitter

Le secret imaginaire des questions secrètes 

Il y a enfin ces infos que nous livrons publiquement sur les réseaux sociaux alors qu'elles contiennent parfois les réponses aux questions censées être «secrètes». «Les questions secrètes sont le talon d'Achille des réseaux sociaux, souligne Gérôme Billois. Elles vous permettent d’accéder à vos comptes en cas d’oubli de mot de passe et ce sont toujours les mêmes: Quel est le prénom de votre mère? Quel est votre plat préféré? Or toutes ces infos peuvent être retrouvées facilement sur les réseaux sociaux.»

… et surtout aux données plus évidentes, qui permettent de personnaliser le phishing 

Pour les scénarios ci-dessus, qui peuvent avoir le mérite d’attirer l’attention, la probabilité d’utilisation malveillante est pourtant « faible », assure Gérôme Billois. Parallèlement, «nous passons notre temps à livrer des informations hypersensibles», et de façon bien plus directe. Or l’occupation principale des cybercriminels reste les mails de phishing, et ces données les aident à les personnaliser.

«Si le mail est pointu, que c’est votre "bonne" banque qui vous dit qu’elle a remarqué votre passage à telle heure la veille, et que toutes ces infos sont correctes parce que vous avez partagé ces données sur les réseaux sociaux, il y a toutes les chances pour que vous cliquiez sur le lien malveillant.»

Quelques réflexes prioritaires

Sans doute avez-vous déjà vu un ami poster sur Facebook qu’il partait en vacances pendant trois semaines, offrant un boulevard à des potentiels cambrioleurs. Un autre qui associe en permanence sa géolocalisation aux photos de son compte Instagram public permet à n’importe qui de retracer son itinéraire précis, jour par jour. A moins que vous n'ayez un autre ami un peu moins malin, qui va jusqu'à se réjouir d’avoir reçu sa carte de crédit et la poster en ligne (Oui, des êtres doués de raison font ça. Un compte Twitter avait été créé pour leur rendre hommage).

Avant de craindre pour vos empreintes digitales, quelques priorités, donc, que rappelle Gérôme Billois: « Le plus urgent reste de faire sur votre téléphone et ordinateur les mises à jour qui répondent à des failles de sécurité, de vérifier la complexité des mots de passe (« 123456 » est encore le plus commun, en 2017…), de prendre 5 minutes pour lire les paramètres de confidentialité des réseaux sociaux – qui sont très rarement lus [voire de les traduire pour vos enfants, comme l'a fait récemment une avocate britannique], et de prendre conscience des données que vous partagez publiquement : informations, photos, position…., pour les limiter.»