Le chercheur Bob Dyachenko et le site Cybernews ont relevé l’existence d’un document de 12 téraoctets contenant plus de 26 milliards de fichiers personnels qui circule présentement sur le web. Ces dossiers contiennent les informations personnelles de millions d’utilisateurs de plateformes populaires comme X (Twitter), LinkedIn, Deezer, Adobe et Canva notamment. On vous explique comment savoir si vous êtes touché par cette fuite de données et comment vous en protéger.
La nouvelle partagée par le site Cybernews peut-être vue comme une bombe nucléaire numérique tellement l’impact est massif.
Cybernews a collaboré avec l’équipe du chercheur en cybersécurité Bob Dyachenko pour évéler qu’il existe un document de 12 To qui se promène sur le web. Ce document comprend 26 milliards de fichiers contenant des données personnelles.
Ces derniers n’ont pas hésité à nommer cette fuite de donnée: Mother of all breaches (la mère de toutes les brèches) alors qu’il s’agit certainement de la plus grosse fuite de données personnelles jamais vue à ce jour.
Qu’est-ce que la fuite de données Mother of all breaches?
La fuite de données Mother of all breaches (MOAB) est vraisemblablement la plus grosse fuite jamais vue à ce jour.
Les 26 milliards de fichiers compromis seraient épartis dans plus de 3800 dossiers. Chaque dossier correspond à une fuite de données distincte.
Selon l’équipe de chercheurs, plusieurs des données contenues dans ce mégadocument de 12 To contiennent des informations provenant d’autres brèches et fuites déjà connues jusqu’ici.
C’est sans compter qu’il peut y avoir plusieurs doublons à travers ceux-ci.
Ceci n’empêche pas qu’il y ait aussi de nouvelles données qui n’avaient encore jamais fuité à ce jour.
L’étendue des données personnelles qu’on peut y retrouver est large. On parle autant de données sensibles liées à nous (nom, prénom, âge, adresse, etc) que des adresses courriels, des numéros de téléphones ou même des mots de passe.
Quant à savoir qui détient ces données, les chercheurs ne le savent pas précisément.
Ce pourrait être l’œuvre de pirates informatiques qui les ont méticuleusement collectés ou bien ça pourrait des courtiers en données qui sont derrière cela ou bien une compagnie qui collecte les données personnelles.
De quels site internet ou plateforme proviennent les données qui ont fuité?
La brèche comprend donc les données de 3800 fuites distinctes. On parle ici de grande plateforme web, de site internet et même d’organisation gouvernementale.
Cybernews mentionne qu’il y a notamment des données d’organisations gouvernementales des États-Unis, du Brésil, de l’Allemagne, des Philippines, de la Turquie et d’autres pays.
Du lot, voici la liste des principales plateformes affectées par cette fuite de données ainsi que le nombre de dossiers compromis:
- Tencent: 1,5 milliard
- Weibo: 504 millions
- MySpace: 360 millions
- Twitter (X): 281 millions
- Wattpad: 271 millions
- NetEase: 261 millions
- Deezer: 258 millions
- LinkedIn: 251 millions
- AdultFriendFinder: 220 millions
- Zynga: 217 millions
- Luxottica: 206 millions
- Evite: 179 millions
- Zing: 164 millions
- Adobe: 153 millions
- MyFitnessPal: 151 millions
- Canva: 143 millions
- JD.com: 142 millions
- Badoo: 127 millions
- VK: 101 millions
- Youku: 100 millions
On peut retrouver la liste complète des sites et plateformes touchés dans le texte de Cybernews.
Comment savoir si nos données ont fuité?
Malgré l’étendue de la faille, il existe un moyen de savoir si nous sommes touchés.
Le moyen le plus simple est d’utiliser la plateforme: Have I been pwned.
Conçu par Troy Hunt, un spécialiste en informatique, ce site a pour mission de nous aider à savoir si on fait partie d’une fuite de données.
Pour ce faire, il compile les plus écentes informations relatives aux sites et entreprises victimes d’intrusion informatique et nous indique si nous en faisons partie.
Tout ce qu’on a besoin de faire c’est d’y entrer l’adresse courriel que l’on utilise pour nos comptes et le site va nous mentionner sur quels plateformes ou sites nos données ont fuité.
Quels sont les risques de cette fuite de données? Quoi faire pour se protéger?
Comme l’expliquent les chercheurs, cette fuite de données peut provoquer d’immenses ramifications et compromettre la sécurité de millions de personnes.
Cet ensemble de données est extrêmement dangereux, car les cybercriminels pourraient utiliser les données agrégées pour un large éventail d’attaques, y compris l’usurpation d’identité, des systèmes sophistiqués d’hameçonnage, les cyberattaques ciblées et l’accès non autorisé à des comptes personnels et sensibles.
À la lumière de cette fuite massive, il est donc important de prendre certaines mesures si nous utilisons l’une des plateformes touchées ou si on s’aperçoit via la plateforme Have I been pwned que nos données sont compromises.
Changer ses mots de passer
La première chose que l’on doit faire si un de nos comptes est compromis c’est d’aller changer notre mot de passe sur celui-ci.
On se rappelle, il faut utiliser des mots de passe forts, des mots de passe longs et surtout des mots de passe diversifiés à travers tous nos comptes.
On a des trucs pour vous créer un mot de passe fort, mais le mieux demeure d’utiliser un gestionnaire de mots de passe.
Un gestionnaire de mots de passe va non seulement nous proposer des mots de passe forts, mais il va les stocker et les sécuriser pour nous de sorte qu’on n’a pas besoin de tous les retenir.
Activer la double authentificationr
Avoir un mot de passe fort c’est une chose, mais ça ne demeure pas assez. Dans la mesure du possible, il faut aussi activer la double authentification.
Moindrement qu’un site ou une plateforme l’offre, on devrait sauter sur cette importante barrière de sécurité.
La double authentification permet de s’assurer que même si un pirate met la main sur notre mot de passe, il se butera à une protection supplémentaire. Protection qui prend la forme d’un code que l’on reçoit par texto ou qui est généé par une application 2FA.
On recommande d’ailleurs fortement l’utilisation d’une application 2FA, puisque c’est bien plus sécuritaire que des textos qui peuvent être interceptés.
Savoir reconnaître les tentatives d’hameçonnage et harponnager
Le plus grand risque que provoquent les fuites de données personnelles, c’est qu’on soit visé par des tentatives d’hameçonnages, voire de harponnages.
Avec notre adresse courriel en main et certaines informations personnelles, des pirates informatiques vont nous envoyer des courriels de nature alarmante.
Ces courriels ont pour but d’infecter nos appareils, voler nos mots de passe ou carrément nous frauder.
Il est donc primordial de toujours se souvenir des trucs pour reconnaître les tentatives d’hameçonnages.
Savoir reconnaître les tentatives de whalingr
Après l’hameçonnage et le harponnage, il y a les attaques informatiques de type whaling ou en français les attaques du président.
Il s’agit d’attaques visant des personnes en position de pouvoir dans de grandes entreprises et plus particulièrement les personnes qui ont accès aux finances de celles-ci.
Quand on voit que des plateformes professionnelles comme LinkedIn sont touchées, il y a là un beau bassin de données précieuses pour mener une telle attaque.
Il faut donc connaître le modus operandi des attaques de type whaling pour pouvoir s’en protéger.
Se munir d’une suite de protectionr
Un des moyens justement pour se protéger face aux tentatives d’hameçonnage, de harponnages ou d’attaques du président, ça demeure de se munir d’une bonne solution de protection.
Ces outils nous aident justement à détecter les courriels frauduleux ainsi que les liens ou fichiers malveillants qui sont placés dans courriels ou messages textes.
Utiliser des outils pour faire effacer nos donnéesr
On le mentionnait précédemment, il se peut que ce soit des courtiers ou des entreprises de collectes de données personnelles qui soient derrière cette importante brèche de sécurité.
Ces entreprises collectent des données à notre insu à travers des ententes avec des plateformes web, boutiques en ligne ou sites internet à la morale, disons douteuse.
Il existe des outils pour nous aider à limiter cette collecte de données. On pense notamment à Incogni.
Ces derniers agissent en quelque sorte comme nos avocats, alors qu’ils cognent à la porte de toutes ces grandes entreprises de courtage pour exiger qu’ils suppriment nos données personnelles.
Ceci a pour effet de éduire les risques que nos données se propagent et permet aussi de éduire le nombre de courriels de spams et les SMS de marketing que l’on reçoit.