Sécurité Vols de données personnelles: de plus en plus de piratages

Le nouveau règlement européen sur la protection des données (RGPD) renforce les obligations des entreprises en matière de sécurité, pour éviter notamment les piratages massifs de données personnelles, qui comptent plusieurs exemples spectaculaires ces dernières années.

Le RGPD rendra également plus stricte l'utilisation des données pour tenter d'éviter une nouvelle affaire Cambridge Analytica, la société d'analyse qui a exploité à leur insu les données de près de 90 millions d'utilisateurs de Facebook, taxé de laxisme, tout comme Grindr, l'application de rencontres homosexuelles qui a laissé des entreprises tierces accéder à des données sensibles de ses utilisateurs, dont leur statut HIV.

La révélation de tels scandales est moins fréquente que celle de piratages, dont voici les principaux:

Yahoo! dans la tourmente

La cyberattaque la plus importante de l'histoire a touché Yahoo! en 2013, dont l'ensemble des 3 milliards de comptes utilisateurs ont été affectés.

Révélé en décembre 2016, l'ampleur du piratage, d'abord estimé à 1 milliard de comptes, a été revu à la hausse en 2017. Mais il ne concerne pas les mots de passe et les coordonnées bancaires, a assuré le groupe.

L'affaire avait failli remettre en question le rachat du cœur de métier de Yahoo! par le géant des télécoms Verizon, qui a finalement obtenu de payer moins cher.

Un véritable empilement de catastrophes pour Yahoo!, désormais Altaba, qui avait déjà dévoilé en septembre 2016 une attaque sur 500 millions de comptes utilisateurs subie en 2014, une dissimulation de plusieurs mois qui lui a valu une amende de 35 millions de dollars.

Sortie de route pour Uber

La firme de location de voitures avec chauffeur (VTC) a révélé en novembre 2017 s'être fait voler fin 2016 les informations de 57 millions d'utilisateurs (nom, adresse mail, numéro de téléphone) et conducteurs (nom, numéro de permis).

Uber a été vilipendée pour avoir caché l'information pendant plusieurs mois et également parce qu'elle aurait versé 100.000 dollars aux hackers afin qu'ils détruisent leur larcin. Plusieurs enquêtes ont été ouvertes aux États-Unis et en Europe.

Equifax perd tout crédit

En septembre 2017, l'agence de crédit américaine Equifax, dont le rôle est de collecter des données personnelles de consommateurs sollicitant un crédit, a révélé le piratage de données sensibles de plus de 147 millions de clients américains, canadiens et britanniques.

L'entreprise a été éreintée sur les réseaux sociaux et attaquée en justice: la faille avait été identifiée mais non corrigée, les systèmes de sécurité étaient insuffisants, la fuite révélée à retardement et des dirigeants sont soupçonnés de délit d'initié, pour avoir vendu des actions avant la révélation du piratage.

Plus d'un milliard de mots de passe

La firme de sécurité informatique Hold Security a affirmé en août 2014 que des pirates russes s'étaient emparés de 1,2 milliard de mots de passe sur 420.000 sites internet dans le monde, des plus grandes enseignes à la plus petite page personnelle.

Hold Security a estimé que ce groupe de hackers, surnommé CyberVor, aurait eu potentiellement accès à 500 millions de comptes e-mail. Mais cette annonce n'a pas été suivie de conséquences majeures.

Target pris pour cible

La chaîne de distribution américaine Target a été victime d'une attaque informatique de grande ampleur en décembre 2013 qui a affecté 110 millions de clients, 70 millions ayant pu se faire voler des données personnelles (noms, adresses postales, numéros de téléphones et adresses électroniques) et 40 millions des coordonnées bancaires.

Ashley Madison: le plus chaud

En août 2015, le groupe de pirates informatiques The Impact Team a publié 30 gigaoctets de données clients du site de rencontre adultères Ashley Madison, contenant les noms, courriels, voire les préférences sexuelles d'utilisateurs.

Les révélations ont tourné au tragique avec le suicide d'inscrits aux États-Unis et au Canada, poussant le patron du site à quitter ses fonctions. Ashley Madison était déjà en difficultés pour publicité mensongère: le site proposait d'effacer les données utilisateurs moyennant 19 dollars, une promesse non tenue.

Vol de données NFC: protégez vos cartes de crédit sans contact

Voir 15 autres images

Vol de données NFC: protégez vos cartes de crédit sans contact

Le paiement sans contact via carte de crédit fait des émules: des millions de consommateurs utilisent déjà cette technologie pour payer de petits montants en quelques secondes.

Photo: iStock

Les distributeurs de cartes de crédit en font activement la promotion: la plupart des nouvelles cartes de crédit sont équipées d'une puce NFC (Near Field Communication, ou Communication dans un champ proche).

Photo: iStock

Il suffit de chercher le symbole WLAN/Wi-fi pour déterminer si la carte est équipée de la fonctionnalité de paiement sans contact. Il ne reste plus qu'à apposer la carte sur le terminal pour envoyer le paiement. Cependant, ce confort a un prix.

Photo: iStock

Les fraudeurs ont désormais développé de nouvelles méthodes leur permettant d'accéder aux données stockées sur ces cartes équipées de la puce NFC. Ils peuvent ainsi s'enrichir au détriment de la victime.

Photo: iStock

Nous vivons à une époque où l'argent n'est plus dérobé de façon conventionnelle. Il est beaucoup plus lucratif de mettre directement la main sur les informations de la carte de crédit de la victime.

Photo: iStock

Aujourd'hui, grâce aux cartes de crédit équipées du paiement sans contact, cette manipulation dure à peine quelques secondes. Les fraudeurs ont simplement besoin d'un scanner RFID, qu'il est possible de se procurer en ligne pour environ 40 francs.

Photo: iStock

Les données de la carte de crédit de la victime sont captées à travers la poche, le sac à dos ou le porte-monnaie. C'est ainsi que le numéro de carte et la date d'expiration sont transmis au fraudeur.

Photo: iStock

Ces informations sont amplement suffisantes pour passer de petites commandes dans certains magasins en ligne. Ainsi, le criminel peut faire ses emplettes avec les données volées.

Photo: iStock

En outre, il se peut que ce piratage ne nécessite même plus de scanner, étant donné que toujours plus de Smartphones disposent d'une puce NFC intégrée pour pouvoir utiliser le paiement sans contact.

Photo: iStock

On peut imaginer que les fraudeurs utilisent un logiciel malveillant pour déclencher le lecteur NFC, activer la carte de la victime et transférer les données récupérées sur Internet.

Photo: iStock

Si vous remarquez des transactions suspectes sur votre relevé bancaire, contactez immédiatement votre banque ou votre fournisseur de carte afin, si nécessaire, de faire opposition.

Photo: iStock

Néanmoins, comment réagir avant qu'il ne soit trop tard? Au final, le vol de données ne se remarque même pas sur le moment.

Photo: iStock

On peut douter de l'efficacité des coques en aluminium censées protéger des «ondes manipulatrices». Toutefois, dans ce cas de figure, l'aluminium est une bonne solution. Si la carte a été fabriquée en cette matière, le fraudeur n'a aucune chance.

Photo: iStock

Entre-temps, de nouveaux porte-monnaie avec «protection-RFID» intégrée ont vu le jour (Alpine Swiss en a produit un modèle). Le contenu de ces porte-monnaie est protégé du vol de données.

Photo: Alpine Swiss

D'autres documents équipés de la technologie NFC sont vulnérables, tels que le SwissPass émis par les CFF. En revanche, les éventuels fraudeurs ne peuvent rien faire de ces données, vu qu'elles sont sauvegardées par les CFF sur des serveurs sécurisés.

Photo: SBB