Nolan Mariotte
L’internet a du mal à oublier les choses.
Beaucoup d’entre nous le savent, ou du moins nous y pensons lorsque nous postons des mises à jour sur Facebook, partageons des photos sur Instagram, parlons de petites parties de notre vie quotidienne sur Twitter, et mettons nos informations personnelles dans une variété d’autres plateformes de médias sociaux et services en ligne.
Mais je vois maintenant que c’est vrai, du moins pour moi.
J’écris sur la cybersécurité depuis des années. Je suis donc conscient des risques liés au partage d’informations personnelles en ligne et de la valeur que peuvent avoir nos données sensibles pour les cybercriminels. J’ai écrit à ce sujet lorsque quelqu’un a essayé d’utiliser mes coordonnées bancaires volées à plus de 5 000 km de distance. C’est pourquoi je pense qu’il est important de protéger vos informations sensibles.
Pour cette raison, je fais attention à ce que je m’inscris, à ce que je publie et à qui peut le voir.
Je veille à ce que mes mots de passe soient suffisamment difficiles à deviner et j’utilise l’authentification multifactorielle pour protéger mes comptes chaque fois que c’est possible.
Toutes ces habitudes, je les ai prises au cours des dix dernières années environ.
Mais avant cela, j’étais beaucoup moins prudent lorsque je mettais des informations personnelles en ligne. C’était particulièrement vrai lorsque, adolescent, j’ai obtenu un ordinateur personnel en 2001 et que j’ai commencé à utiliser souvent l’internet.
Cet accès m’a permis d’entrer dans de nombreux mondes différents.
J’ai fait partie de clans de jeux, j’ai eu un avant-goût des médias sociaux avec MySpace et j’ai rejoint différents forums en ligne, où je postais des commentaires et discutais avec des personnes qui aimaient les mêmes choses que moi. Plus tard, j’ai même rencontré d’autres utilisateurs lors de réunions de groupe.
À l’époque, je ne pensais pas vraiment à la sécurité et à la confidentialité.
En vieillissant, en allant à l’université, en trouvant et en quittant un emploi, en changeant de ville et en découvrant de nouveaux passe-temps, j’ai cessé de poster sur les forums et j’ai fini par les oublier.
J’ai donc été surpris lorsque quelqu’un m’a montré à quel point il était facile de trouver mon nom d’utilisateur sur un certain forum et m’a renvoyé à un fil de discussion sur le tableau d’affichage avec des photos de moi prises lors d’une réunion du forum il y a près de 20 ans.
Ces vieilles photos n’étaient pas trop mal – ce n’étaient que des photos de groupe prises dans un pub londonien – mais je les avais oubliées, et pourtant elles étaient là, toujours sur Internet.
C’était bizarre de les voir et de penser qu’elles étaient en ligne depuis presque 20 ans. Un cyberdélateur intelligent pourrait utiliser ce compte pour découvrir toutes sortes d’autres choses sur moi et mes habitudes en ligne, ce qui est vrai.
Mon historique en ligne avait été consulté, mais pas par quelqu’un de mal intentionné. Il s’agissait de Jack Chapman, vice-président chargé des renseignements sur les menaces au sein de la société de cybersécurité Egress.
Mais cela m’a montré que ce profil en ligne, que j’avais oublié depuis longtemps, ainsi que d’autres parties de mon empreinte numérique, se trouvaient sur Internet et pouvaient être utilisés à mauvais escient.
Même si c’était amusant de trouver de vieilles informations sur moi, si elles tombaient entre de mauvaises mains et étaient utilisées contre quelqu’un d’autre, elles pouvaient être la clé de beaucoup plus.
“Nous vivons à l’ère des données, et il est facile pour les personnes mal intentionnées de mettre la main sur ces données”, m’a dit Chapman.
Alors comment ont-ils trouvé un ancien compte de forum et un tas d’autres informations me concernant qui les reliaient à moi ?
Cela commence par quelque chose qui est arrivé à presque tout le monde avec un compte en ligne : une violation de données. Il s’agit de pirates qui s’introduisent dans des services en ligne, volent des adresses électroniques, des mots de passe, des informations de contact, des numéros de carte de crédit et d’autres données personnelles sensibles, puis divulguent ces informations.
C’est ainsi que j’ai commencé à retrouver des parties de mon empreinte en ligne que je pensais avoir oubliées depuis longtemps.
Si vous utilisez l’internet, vous avez probablement au moins une adresse électronique pour vous-même.
Nous l’utilisons pour nous inscrire à différents services, et il peut y en avoir des centaines, même si nous ne les utilisons qu’une fois et les oublions ensuite.
Et vous ne pouvez pas vous débarrasser de ces informations.
J’ai une adresse électronique personnelle qui a été utilisée pour m’inscrire à de nombreux sites web et services en ligne différents au cours des presque 20 dernières années.
Malheureusement, des cybercriminels ont réussi à s’introduire dans certains de ces services et à mettre en ligne des informations sur les comptes.
Selon HaveIBeenPwned, cette adresse électronique a été exposée dans au moins 14 piratages différents au fil des ans. Cela a mis en danger mon nom, mes noms d’utilisateur en ligne, mes mots de passe et d’autres informations.
Certaines d’entre elles étaient d’énormes violations de données qui exposaient les informations de millions de personnes, comme la violation de données de LinkedIn en mai 2016 qui a exposé 164 millions d’adresses électroniques et de mots de passe ou le dump de Collection 1 en janvier 2019 qui contenait 773 millions de noms d’utilisateur et de mots de passe qui avaient été divulgués ou volés.
Chapman a pu utiliser ces informations comme point de départ pour rechercher des informations personnelles me concernant en ligne que de mauvais cybercriminels pourraient utiliser contre moi. J’ai été surpris lorsqu’il m’a révélé certains de mes anciens mots de passe.
La plupart du temps, je savais que ces mots de passe avaient fait l’objet d’une fuite, et j’avais donc déjà pris le temps de changer chacun d’entre eux pour un autre.
Mais il y a 10 ou 15 ans, lorsque j’avais moins d’expérience de l’internet, j’utilisais le même mot de passe pour tous mes comptes en ligne. Il était donc facile pour les pirates d’accéder à tous mes comptes si l’un d’eux était piraté.
Les criminels en ligne profitent souvent du fait que les gens utilisent toujours le même mot de passe.
Par exemple, si quelqu’un utilise le même mot de passe pour son compte de messagerie personnel et son compte de messagerie professionnel, les cybercriminels peuvent s’en servir pour pénétrer dans le réseau de l’entreprise.
En revanche, si le nom d’utilisateur et le mot de passe de votre messagerie sont les mêmes que ceux de votre banque, les cybercriminels trouveront rapidement cette faille et l’utiliseront à leur avantage.
Certains des détails me concernant qui ont été volés étaient mes anciens pseudonymes en ligne pour des comptes de forum et des jeux en ligne.
En ajoutant mon nom et mon adresse électronique à ces informations, il était possible de trouver un ancien profil de forum. C’était d’autant plus vrai que j’avais oublié que j’avais écrit des blogs pour l’un de ces sites, ce qui permettait de relier mon vrai nom et mon profil d’utilisateur.
Chapman a pu retrouver mes anciens messages de forum grâce à ce profil, y compris ceux du fil de discussion sur les photos que j’avais oublié jusqu’à présent. Il a pu le faire parce que mon nom d’utilisateur figurait dans le titre du fil de discussion du forum.
C’était très étrange de voir comment quelqu’un pouvait utiliser des informations qui avaient été divulguées pour trouver d’anciennes photos de moi.
Cette partie de mon histoire en ligne remonte à 2005, époque à laquelle je ne pensais pas vraiment à la confidentialité en ligne.
Et pourtant, plus de 15 ans plus tard, un attaquant déterminé pouvait utiliser ces détails très publics – comme il s’est avéré – pour essayer d’en savoir plus sur moi. Il pourrait s’en servir pour essayer de s’introduire dans mes comptes ou lancer des attaques de phishing ciblant mes habitudes.
Mais au moins, je me souviens avoir posté des messages sur ces forums. Ce qui m’a inquiété, c’est que mon ancienne adresse électronique figurait dans une base de données de failles de sécurité, ainsi qu’un certain nombre de sites web pour lesquels je ne me souviens pas m’être inscrit ou que je n’ai pas utilisé.
L’une d’entre elles s’est distinguée par une violation de données en juillet 2018 qui a exposé des noms d’utilisateur, des mots de passe et des adresses électroniques du jeu en ligne Stronghold Kingdoms.
Je connais ce jeu, mais je ne pense pas m’être inscrit pour y jouer.
Il est possible que je l’aie fait, ou que le studio qui l’a créé ait été racheté ou ait fusionné avec un autre studio qui a créé un jeu en ligne auquel j’ai joué il y a des années.
Quoi qu’il en soit, cette violation a permis de révéler mon nom d’utilisateur et mon mot de passe au grand jour.
À partir de là, Chapman a pu établir un lien avec une autre violation de données sur un site Web appelé Zoosk.
Il s’agit d’un autre site dont je ne me souviens pas du tout, mais qui s’avère être un site de rencontres que j’ai utilisé vers 2010 et sur lequel ma date de naissance et ma ville de résidence de l’époque ont été divulguées.
Lorsque l’on a examiné la brèche de plus près, on a constaté qu’elle était même liée à une adresse IP et à un fournisseur d’accès à Internet.
Il s’agissait d’un lieu où j’habitais il y a plus de dix ans, mais il était tout de même effrayant de voir comment les informations d’un site web pouvaient être utilisées pour déterminer où je me trouvais à l’époque.
Toutes ces informations sont des informations sensibles que les cybercriminels pourraient utiliser pour en savoir plus sur leurs cibles et obtenir tout ce qu’ils peuvent d’elles, y compris tout ce qu’ils peuvent de moi.
“Lorsqu’un attaquant en sait plus sur vous, il a deux grands avantages. Premièrement, il peut en savoir plus sur votre vie et votre travail.
Cela leur permet de modifier leurs attaques pour les rendre plus crédibles et plus susceptibles de fonctionner”, explique M. Chapman.
“L’autre chance est que cela leur permet d’en savoir plus sur votre “réseau social”, tant au travail que dans votre vie personnelle.
Cela se fait souvent avec des cibles fortes, où ils s’introduisent d’abord dans une victime plus faible dans le réseau proche de leur cible “The.
Pour moi, une attaque par “réseau social” impliquerait que quelqu’un pirate les comptes de personnes que je connais ou les espionne pour en savoir plus sur moi.
Si je pensais qu’un courriel venait d’un ami, je serais plus enclin à cliquer sur les liens qu’il contient.
Si un cybercriminel était en charge de ce compte, il pourrait utiliser ce lien pour envoyer des logiciels malveillants ou faire d’autres mauvaises actions.
Certaines des brèches qui ont permis la divulgation de mes informations remontent à plus de dix ans.
Le problème est qu’une fois que ces informations ont été divulguées, il est impossible de les récupérer.
Vous pouvez changer votre mot de passe, mais vous ne pouvez pas vraiment changer d’autres informations, comme votre nom, votre adresse, votre nom d’utilisateur en ligne ou votre adresse électronique.
La clé de notre vie en ligne est souvent notre adresse électronique.
Nous l’utilisons pour nous connecter aux réseaux sociaux, aux services bancaires, aux achats et à de nombreux autres services en ligne.
La plupart d’entre nous continuent d’utiliser l’adresse électronique que nous avons depuis des années parce que nous y sommes habitués et qu’elle est liée à tant de choses que nous utilisons tous les jours.
Il est donc difficile d’en changer. Imaginez devoir passer par des dizaines de vos comptes en ligne et suivre toutes les étapes pour changer votre adresse électronique dans chacun d’eux chaque fois que votre adresse électronique fait l’objet d’une fuite.
Mais serait-ce une bonne idée de ne plus utiliser une adresse électronique si elle a été piratée trop souvent ? Surtout s’il s’agit d’une adresse électronique d’entreprise, cela pourrait nous exposer à des piratages.
Chapman affirme que c’est le cas.
“Une chose dont nous n’avons pas parlé en tant qu’industrie est de se débarrasser des adresses électroniques.
Si elles ont fait l’objet d’un certain nombre de violations, devrions-nous avoir une meilleure pratique qui nous permette de dire “non, en fait, cela augmente le risque auquel nous sommes confrontés en tant qu’entreprise – nous devrions les fermer maintenant” ?
Mais une fois que la plupart de nos informations sont sur l’internet, elles y sont pour de bon, et il n’y a pas grand-chose que nous puissions y faire.
En d’autres termes, la meilleure chose à faire est de savoir quelles informations sont susceptibles de circuler et d’être conscient des cas où vos informations personnelles pourraient être utilisées à mauvais escient.
Par exemple, si vous savez qu’une violation de données a entraîné le vol des informations relatives à votre carte de crédit, vous devez appeler votre banque, annuler cette carte et en obtenir une nouvelle pour éviter toute fraude sur votre compte.
De même, si un fournisseur de services vous informe qu’il a été piraté et qu’il est possible que des informations aient été volées, il est bon de changer votre mot de passe pour ce compte et pour tous les autres comptes pour lesquels ce mot de passe peut être utilisé. Cela empêchera les cybercriminels d’utiliser les données volées à mauvais escient.
Google déclare : “Nous trouvons plus de bugs de type “zero-day” que jamais auparavant.”
Mais c’est encore trop facile pour les hackers
Si vous savez qu’une brèche a exposé vos informations, vous devez également vous méfier des e-mails de phishing.
La plupart du temps, les courriels ayant fait l’objet d’une fuite se retrouvent sur des listes de spam.
Beaucoup d’entre eux sont faciles à repérer. Par exemple, les courriels qui disent que vous avez gagné des cartes-cadeaux ou que vous avez reçu des cadeaux sont faciles à repérer.
Mais certains sont plus sournois et utilisent les inquiétudes liées aux violations de données pour envoyer des courriels de phishing plus ciblés.
Par exemple, lorsqu’un site d’échange de bitcoins est piraté, d’autres pirates tentent d’en profiter en envoyant des courriels d’hameçonnage à des listes d’utilisateurs ayant fait l’objet d’une fuite, en leur disant que leur compte est en danger et qu’ils doivent “cliquer ici” pour le réparer, mais le lien est en fait un moyen de voler les informations de connexion et les bitcoins.
Cela se produit dans de nombreuses brèches de sécurité, il est donc important que les utilisateurs se méfient de ce genre d’e-mails.
Une entreprise ne va probablement pas vous informer d’une faille de sécurité et vous envoyer un lien pour vous connecter.
Et si vous pensez qu’il pourrait y avoir un problème, la meilleure chose à faire est d’ouvrir votre navigateur web et de vous rendre directement sur le site. De cette façon, vous ne tomberez pas dans le piège d’un courriel de phishing.
Si vous avez d’anciens comptes que vous n’utilisez plus, vous devriez les fermer car ils peuvent contenir de nombreuses informations personnelles que les cybercriminels pourraient utiliser contre vous.
Si le compte n’existe pas, l’utilisateur court beaucoup moins de risques.
“À moins de supprimer ou de modifier les choses à la main, plus rien n’est oublié”, explique Chapman. “Les attaquants le savent.”
Les vieilles photos du forum en ligne en sont un bon exemple.
Mais dans une tournure frustrante, j’ai vérifié si je pouvais revenir en arrière et supprimer les images des messages du forum, mais je ne peux pas. En effet, mon compte a été automatiquement fermé à un moment donné parce qu’il n’était pas utilisé, et maintenant mon profil indique seulement que je suis un “ancien membre” du forum.
Mais mon nom d’utilisateur figure dans le titre du fil de discussion, et les photos sont toujours là.
Il n’y a aucun moyen de se débarrasser des photos ou des messages du forum, qui laissent une trace de mon histoire en ligne remontant à près de 20 ans.
C’est un peu effrayant, mais c’est un bon rappel que les informations personnelles que vous mettez sur l’internet peuvent y rester pour toujours, même si c’est quelque chose que vous préféreriez oublier.
