Failles de sécurité : plus 5 milliards de données perdues ou volées depuis 2013
Yahoo!, LinkedIn, Tumblr, Dropbox, MySpace… Tous ces sites ont connu des attaques informatiques de grande envergure visant à dérober les identifiants et les mots de passe de leurs utilisateurs. Une fois recueillies, ces données alimentent un lucratif marché parallèle, qui n’est pas sans conséquences pour les victimes.
Des milliards d’identifiants volés et revendus
En 2014, une dépêche du New York Times a fait l’effet d’une bombe : un groupe de pirates russes avait à l’époque réussi à dérober pas moins de 1,2 milliards de comptes d’utilisateurs provenant de 420.000 sites Internet. Aussi spectaculaire qu’elle soit, cette information ne constitue hélas pas un cas unique. En août c’est Dropbox, leader du stockage en ligne, qui a révélé avoir été victime d’un vol massif d’identifiants concernant 68 millions de comptes. Encore plus récemment, Yahoo a fait l’objet d’une intrusion massive dans sa base de données ciblant 500 millions de comptes. La firme aura mis deux ans avant de s’en apercevoir. Réseaux sociaux, banques, fournisseurs d’accès Internet et particuliers sont menacés par ces attaques visant la plupart du temps à monnayer des données personnelles extrêmement rentables pour les pirates. Selon la plateforme Breach Level Index développée par Gemalto, ce sont pas moins de 5 milliards de données qui ont été dérobées depuis 2013, soit 45 documents chaque seconde.
Des conséquences loin d’être anodines
L’émergence du cloud, des réseaux sociaux ainsi que l’utilisation massive de smartphones renfermant une multitude d’informations personnelles amèneront inéluctablement à un accroissement de ces pratiques frauduleuses. Les conséquences financières pour les entreprises, qui consacrent des sommes considérables pour colmater les failles de sécurité, sont de plus en plus lourdes. S’ensuit aussi une inéluctable perte de confiance liée à l’annonce d’un piratage, entrainant une dégradation de leur image de marque. Yahoo!, déjà en perte de vitesse et en pleines négociations pour son rachat, devrait pâtir de la récente fuite de données l’ayant touché. Les utilisateurs doivent eux aussi affronter des désagréments parfois sévères, comme l’usurpation d’identité ou le pillage de leur compte en banque. Comment, dès lors, se prémunir de ces menaces ?
De l’importance du mot de passe
L’utilisateur, aussi aguerri soit-il, ne peut se protéger contre une attaque ciblant directement les bases de données des sites piratés. La réactivité que mettront ces derniers à prévenir leurs usagers sera décisive pour limiter les dommages. En dehors de ce cas particulier, c’est à l’internaute de prendre ses précautions, notamment en ce qui concerne l’usage de son mot de passe. Les nombreuses listes disponibles sur le marché noir révèlent que de nombreux utilisateurs emploient encore des mots de passe faibles, tels que 123456 ou azerty. Un bon mot de passe doit comporter au minimum huit caractères, alternant chiffres, lettres et signes spéciaux, comme le préconise la CNIL. Une autre mauvaise habitude consiste à utiliser le même mot de passe pour tous les sites que l’on consulte : il suffit en effet que l’un d’entre eux se fasse pirater pour que l’ensemble de la vie numérique de l’internaute soit compromis.
Règles de sécurité minimales
La plus grande prudence s’impose aussi lorsque l’utilisateur se connecte à ses comptes depuis un Wifi public. Fourni gracieusement par les hôtels ou les restaurants, ce service s’avère bien pratique lors d’un déplacement. Il est en effet tentant de consulter ainsi sa messagerie, ses comptes bancaires, ou de se connecter à son réseau social préféré pour y poster des photos de vacances. Pourtant ces hotspots sont loin d’être sécurisés et il est facile, pour une personne malintentionnée, de récupérer une bonne partie des échanges qui y transitent.
Une autre erreur consiste à ouvrir sans réfléchir un document envoyé en pièce-jointe, qui pourrait contenir un logiciel malveillant capable d’enregistrer toutes les frappes effectuées sur le clavier de sa cible. Toujours en ce qui concerne les emails, il faudra impérativement se méfier des factures douteuses qui renverront vers un site destiné à dérober identifiants, mot de passe et identité bancaire.
Les outils indispensables
Des logiciels peuvent permettre de réduire les menaces, à commencer par un antivirus performant et à jour. De nombreuses solutions de sécurité scannent aussi, en temps réel, les sites visités et préviennent si ces derniers s’avèrent douteux. Un gestionnaire de mots de passe, sorte de coffre-fort virtuel, permettra de stocker les codes d’accès sans avoir recours aux post-it ou aux contorsions mnémotechniques. L’utilisation d’un tel logiciel permettra de se prémunir de la majorité des pièges tendus par des hackers de plus en plus affutés, motivés par les sommes en jeu. Les identifiants liés aux banques en ligne peuvent ainsi se négocier jusqu’à près de 70 euros l’unité. Le respect scrupuleux des règles de sécurité, tant de la part des utilisateurs que des entreprises, constitue le seul rempart contre cette nouvelle forme de menace.