Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé vol d'identité. Afficher tous les messages
Aucun message portant le libellé vol d'identité. Afficher tous les messages

mardi 16 mai 2023

La confidentialité en danger chez Replika, Calm, Headspace et d’autres

 

 

La confidentialité en danger chez Replika, Calm, Headspace et d’autres

Ces plateformes, avec lesquelles les utilisateurs échangent d’importantes quantités de données personnelles, interrogent côté sécurité.


Publié le

 

Par



  • Des apps de santé mentale sont épinglées car elles collectent et revendent vos données personnelles
  • Mozilla, qui les a comparées, n’a trouvé que peu de plateformes respectueuses de la vie privée
  • Mieux vaut contacter un professionnel pour obtenir des conseils

Replika, Calm et Headspace comptent parmi les apps qui respectent le moins bien votre vie privée, selon un nouveau classement réalisé par la Mozilla Foundation. Celui-ci s’est avant tout intéressé à analyser les plateformes liées au bien-être et à la santé mentale et à leur promesse en matière de confidentialité, certes obligatoire mais rarement proche des attentes du public. On pourrait même dire que dans le cas de Replika, vos données sont tout simplement vendues à des annonceurs. Rien que ça.

 

Rappelons tout de même que l’app, qui a d’ailleurs pu faire polémique très récemment en France, traite de sujets très personnels avec ses utilisateurs. Ceux-ci font en effet de l’intelligence artificielle leur “amie”, afin tantôt de combler leur solitude, tantôt de passer le temps ou encore de recevoir des conseils pour lutter contre la déprime.

Les apps les plus fiables ne sont pas les plus connues

Selon Mozilla, il est ainsi plutôt risqué, encore aujourd’hui, de confier vos petits secrets à la plupart des apps qui vous le proposent. Il en existe cependant quelques-unes qui dont plutôt bien le travail, sans vous exposer à de potentielles fuites très gênantes. C’est notamment le cas de PTSD Coach, qui permet d’aider les patients victimes de stress post-traumatique. Éditée par le United States Department of Veterans Affairs (département des Anciens combattants des États-Unis), cette plateforme ne demande même pas l’e-mail de l’utilisateur lorsque celui-ci doit se connecter.

Headspace, en revanche, fait clairement figure de mauvais élève ici. Ceci se confirme de toute manière avec les étiquettes de confidentialité sur l’App Store, qui sont obligatoires pour indiquer à ceux qui installent l’app quelles données celle-ci collecte. On y apprend qu’ici, les informations relatives à leur santé et à leur activité physique sont par exemple liées à leur identité.

privacy not included

© Mozilla Foundation

Comment se faire aider ?

Aujourd’hui, en 2023, la santé mentale reste d’actualité et, grâce aux réseaux sociaux, de nombreuses prises de conscience donnent de l’ampleur au phénomène. Pour se faire aider, il est avant tout conseillé de prendre rendez-vous avec un spécialiste : psychologue, psychothérapeute ou psychiatre. Des apps dédiées permettent de réserver un créneau en France, comme Livi ou Doctolib.

Bientôt, il se murmure qu’Apple pourrait aussi proposer une nouvelle app avec iOS 17. Il s’agirait d’une sorte de journal intime, dont la tenue pourrait réduire l’anxiété. Mais là aussi, il sera question de données personnelles : gageons que la firme à la pomme saura respecter ses engagements en faveur de leur protection cette fois-ci.

 

REF.:  https://www.iphon.fr/post/confidentialite-danger-replika-calm-headspace-autres

dimanche 2 janvier 2022

Vol d'identité bancaire : quelles sont les méthodes des cybercriminels, quels sont leurs réseaux ?

 

Vol d'identité bancaire : quelles sont les méthodes des cybercriminels, quels sont leurs réseaux ?

La Rédaction Clubic
12 décembre 2021 à 17h00

 

Ouvrir son application bancaire et y voir des montants considérables débités est une expérience particulièrement stressante. Trop souvent, les hackers commettent leurs méfaits dans un but simple : gagner de l'argent, et ce par tous les moyens. Que vous ayez été victimes d'un piratage en ligne ou que vous souhaitiez tout simplement vous prémunir de cette mésaventure, vous êtes au bon endroit.

S'il existe bien des manières pour les hackers de gagner de l'argent, ils tendent à privilégier des moyens plus… directs. Le vol des données de votre carte bancaire est probablement l'une des méthodes les plus simplistes, mais son efficacité lui a permis un véritable boom. Entre 2019 et 2020, le nombre de victimes a augmenté de 44,7% aux États-Unis pour atteindre un total de 393 207 vols déclarés sur l'année de la pandémie.


Un myriade de méthodes dans l’arsenal des hackers 

Avec les confinements successifs, les achats en ligne ont connu un essor fulgurant. Cette tendance n'est pas passée inaperçue auprès des hackers. Pour parvenir à leurs fins et voler vos données, les individus malveillants disposent de nombreux outils qui ont fait leurs preuves au fil des années.

Gare aux Wi-Fi publics

Dans un aéroport, dans un café ou dans un hôtel, les réseaux Wi-Fi gratuits ne manquent pas pour accommoder les travailleurs nomades et leur fournir un accès à Internet. Ces réseaux publics sont certes pratiques, mais ils n'en restent pas moins dangereux, surtout si vous y effectuez des opérations sensibles comme des achats en ligne. Dans bien des cas, les accès publics sont peu sécurisés et constituent un terrain de chasse idéal pour un hacker qui n'a qu'à y poser son piège. Le piège en question : un analyseur de paquet. À la manière d'un filet, ces logiciels interceptent les données qui transitent sur un réseau, qu'elles soient chiffrées ou non. Il est alors facile pour le hacker de filtrer la masse de données pour n'en tirer que les informations importantes comme des mots de passe ou des coordonnées bancaires.

Keylogger, une menace facilement oubliée

Les keyloggers, ou enregistreurs de frappes en français sont des logiciels qui permettent aux hackers d'avoir accès à chaque frappe sur le clavier, mais également aux informations dans le presse-papier. Souvent installés à l'insu de l'utilisateur, les enregistreurs de frappes sont difficilement détectables et donc redoutablement efficaces sur le long terme. Ici aussi, un hacker n'aura aucun mal à reconnaitre des mots de passe et des informations de carte bancaire parmi la foule de caractères tapés.

Phishing et pharming

Le phishing est l'une des menaces les plus répandues depuis le début de la pandémie. Déjà populaire auparavant, cette méthode consiste à se faire passer pour une entreprise ou une institution afin d'arnaquer les utilisateurs. En se munissant d'une adresse mail cohérente couplée à un texte convaincant, il est possible d'induire la personne en erreur avant de la faire télécharger un fichier compromis, contenant souvent un malware. Dans d'autres cas, le mail peut contenir un lien infecté. Ledit lien mène parfois vers une page web contenant un exploit, destiné à utiliser une faille dans le navigateur ou le système d'exploitation pour accéder à la machine. Dans d'autres cas, ce lien peut mener vers un site ressemblant trait pour trait à celui de l'institution ou entreprise usurpée, on parle alors de pharming. Cette méthode bien plus directe va inciter l'utilisateur à faire confiance au site frauduleux et récupérer les informations bancaires qui y seront enregistrées.


 

Le pire dans tout cela ? Le phishing peut être conjugué à l'une des deux méthodes citées auparavant. Il est en effet plus facile de créer un mail frauduleux sur mesure lorsqu'on a déjà récolté certains détails sur la vie personnelle d'un utilisateur.

Dark Web, forums et vente en gros : la face immergée de l’iceberg

Si les méthodes que nous avons mentionné sont plutôt directes et peuvent être contrées (comme nous le verrons un peu plus tard), d'autres ne visent pas directement l'utilisateur, mais les bases de données qui stockent les informations de cartes bancaires de milliers voire de millions d'entre eux. En faisant usage de l'ingénierie sociale ou de failles dans le système de l'organisation visée, les hackers parviennent à y extirper des volumes importants de données. Identifiants, mots de passe ou données de carte bancaire y sont parfois stockés en clair, c'est-à-dire sans aucune forme de chiffrement.

Peu importe la méthode utilisée, les hackers qui obtiennent les données ne sont souvent pas ceux qui les utilisent. Comme dans d’autres organisations, chacun possède sa spécialisation. Le voleur revend son butin à des hackers dévoués à la gestion de gros volumes de données. Comme vous pouvez vous en douter, ce type de transactions n'est pas légal, mais les hackers disposent d'un endroit pour ça : le Dark Web.


Pour des raisons légales, cette partie « cachée » d'Internet n'est pas facilement accessible, car non indexée par Google et les autres moteurs de recherche. Il s'agit en effet du lieu où se vendent de nombreux biens comme de la drogue ou des malwares. De véritables marketplaces sont prévues à cet effet, mais ce qui nous intéresse ici, c'est la revente de données. Sur des forums ou sur des marketplaces, ces volumes de data se revendent à des prix allant de 50$ à 5000$. Cette fourchette de prix large est due à la variabilité et à l'exploitabilité des données. Ainsi en 2021, les coordonnées bancaires d'un compte contenant 5000$ se revendent en moyenne 240$ selon Privacy Affairs , l'organisation qui dresse un index des prix du Dark Web chaque année.

Les cryptos, nouvel eldorado pour les hackers ?  

Nous avons jusqu'ici seulement abordé les vols de données bancaires, mais un nouveau moyen de paiement gagne en popularité ces dernières années : les cryptomonnaies. Ces monnaies virtuelles sont une énième arme employée par les hackers, notamment pour son intraçabilité qui s'illustre dans deux cas. Tout d'abord, dès lors qu'ils achètent des données, il est difficile de remonter à eux, même si les personnes à l'origine de la fuite sont identifiées. En outre, les hackers peuvent voler les Wallet ou les cryptodevises d'utilisateurs naïfs sans être identifiés, et ce tout en empêchant ces derniers de bloquer les transactions effectuées avec le pécule subtilisé.


Comment se protéger ?  

En cas de vol, la première chose reste d'immédiatement faire opposition auprès de votre banque. De multiples autres moyens sont envisageables pour vous prémunir. Aujourd'hui, de nombreuses banques proposent le « 3D Secure », une forme d'authentification qui repose sur l'utilisation de l'application ou l'envoi d'un mot de passe au moment du paiement. Veillez à ce que cette option soit toujours activée. Plus généralement, l'authentification à deux facteurs devrait être utilisée sur tous vos comptes en ligne. En effet, la fuite de vos données bancaires est souvent synonyme de la fuite de votre mot de passe.

Pour éviter de subir une fuite de données, ou au moins d'en limiter l'impact, il est fortement recommandé de ne jamais enregistrer sa carte bancaire chez les e-commerçants ou sur tout autre site, même avec des paiements récurrents. Si possible, privilégiez PayPal qui présente l'avantage de proposer une identification à deux facteurs.

Si vous effectuez une connexion via un Wi-Fi public, utilisez un VPN afin de chiffrer toutes ces données qui transitent. Cela n'empêchera pas un analyseur de données de les intercepter, mais celles-ci deviendront illisibles pour le hacker grâce au chiffrement opéré par le protocole VPN. Dans le cas d'une tentative de phishing et de pharming, il faudra compter sur votre bon sens et avoir un oeil aguerri sur tous les mails suspects. Des fautes dans l'adresse mail ou le nom de domaine du site sont souvent révélateurs d'une supercherie. Soyez également vigilant quant à l'absence de certificat SSL. Enfin, les keyloggers demanderont l'aide d'un antivirus pour être identifiés. ESET Smart Security est dans ce sens une excellente alternative ; en plus d'intégrer un navigateur sécurisé protégeant vos informations de connexion, il dispose d'un gestionnaire simplifié de mots de passe

 

REF.:   https://www.clubic.com/eset/dossier-397131-vol-d-identite-bancaire-quelles-sont-les-methodes-des-cybercriminels-quels-sont-leurs-reseaux.html

vendredi 28 mai 2021

COMB: la plus grande violation de tous les temps divulguée en ligne avec 3,2 milliards d'enregistrements

 

 COMB: la plus grande violation de tous les temps divulguée en ligne avec 3,2 milliards d'enregistrements

 par Bernard Meyer 

12 février 2021 dans News 39 Fuite de données COMb

 - Mère de toutes les violations 2,4 k

 ACTIONS: Détecteur=https://cybernews.com/personal-data-leak-check/

 On l'appelle la plus grande violation de tous les temps et la mère de toutes les violations: COMB, ou la compilation de nombreuses violations, contient plus de 3,2 milliards de paires uniques d'e-mails et de mots de passe en texte clair. Bien que de nombreuses violations et fuites de données aient affecté Internet dans le passé, celui-ci est exceptionnel par sa taille. À savoir, la population totale de la planète est d'environ 7,8 milliards, et cela représente environ 40% de cela. Cependant, si l'on considère qu'environ 4,7 milliards de personnes seulement sont en ligne, COMB inclurait les données de près de 70% des internautes mondiaux (si chaque enregistrement était une personne unique).

 Pour cette raison, il est recommandé aux utilisateurs de vérifier immédiatement si leurs données ont été incluses dans la fuite. Vous pouvez maintenant accéder au vérificateur de fuites de données personnelles CyberNews. CyberNews a été la première base de données de fuite à inclure les données COMB. Depuis la sortie de COMB, près d'un million d'utilisateurs ont vérifié notre vérificateur de fuite de données personnelles pour voir si leurs données étaient incluses dans la plus grande compilation de brèches de tous les temps.

 Alors, comment la fuite de données COMB s'est-elle produite? Le mardi 2 février, COMB a été divulgué sur un forum de piratage populaire. Il contient des milliards d'informations d'identification utilisateur provenant de fuites passées de Netflix, LinkedIn, Exploit.in, Bitcoin et plus encore. Cette fuite est comparable à la compilation Breach de 2017, dans laquelle 1,4 milliard d'informations d'identification ont été divulguées. Cependant, la violation actuelle, connue sous le nom de «Compilation de nombreuses violations» (COMB), contient plus du double des paires uniques d'e-mail et de mot de passe. Les données sont actuellement archivées et placées dans un conteneur crypté et protégé par mot de passe. La base de données divulguée comprend un script nommé count_total.sh, qui a également été inclus dans la compilation des violations de 2017. Cette violation comprend également deux autres scripts: query.sh, pour interroger les e-mails, et sorter.sh pour trier les données.

 Après avoir exécuté le script count_total.sh, qui est un simple script bash pour compter le nombre total de lignes dans chacun des fichiers et les additionner, nous pouvons voir qu'il y a plus de 3,27 milliards de paires d'e-mails et de mots de passe:

 Nous ajoutons actuellement les nouveaux e-mails COMB à notre vérificateur de fuites de données personnelles. Le vérificateur de fuites de données personnelles de CyberNews possède la plus grande base de données de comptes piratés connus, aidant les utilisateurs à savoir si leurs données sont éventuellement tombées entre les mains de cybercriminels. Consultez notre vérificateur de fuites de données personnelles maintenant pour voir si votre adresse e-mail a été exposée dans cette fuite ou dans des fuites précédentes. Fuites de données et leurs effets: comment vérifier si vos données ont été divulguées? capture d'écran vidéo Cela ne semble pas être une nouvelle violation, mais plutôt la plus grande compilation de violations multiples.

 Tout comme la compilation des violations de 2017, les données de COMB sont organisées par ordre alphabétique dans une structure arborescente et contiennent les mêmes scripts pour interroger les e-mails et les mots de passe. Dans les captures d'écran jointes à la fuite, on peut voir l'organisation des données, ainsi que le type de données publiées. Ci-dessous, les données ont été brouillées par CyberNews: Pour le moment, on ne sait pas quelles bases de données précédemment divulguées sont collectées dans cette faille. Les échantillons consultés par CyberNews contenaient des e-mails et des mots de passe pour des domaines du monde entier. 

Connexions Netflix, Gmail, Hotmail incluses dans COMB Comme COMB est une base de données rapide, consultable et bien organisée des fuites majeures passées, elle contient naturellement les fuites passées.

 Cela inclut les fuites majeures de services populaires tels que Netflix, Gmail, Hotmail, Yahoo et plus encore. Sur la base de notre analyse des données violées, il y a environ 200 millions d'adresses Gmail et 450 millions d'adresses e-mail Yahoo dans la fuite de données COMB. En 2015, The Independent a signalé un «piratage Netflix» apparent où les cybercriminels ont pu se connecter aux comptes des utilisateurs de Netflix dans le monde entier. Cependant, Netflix n'a jamais admis avoir été piraté, ce qui est probablement dû au fait que les utilisateurs utilisent souvent les mêmes mots de passe pour différents comptes.

 C'est pourquoi il est important d'utiliser un mot de passe unique pour chaque compte que vous créez. CyberNews dispose d'un générateur de mots de passe fort que vous pouvez utiliser pour créer des mots de passe forts et uniques. Astuce CyberNews Pro Ne laissez pas une autre violation de données vous effrayer. Les gestionnaires de mots de passe créent non seulement des mots de passe forts et uniques, mais ils vous alertent également lorsque vos informations d'identification ont été divulguées. En savoir plus sur les gestionnaires de mots de passe De même, Gmail n'a jamais connu de violation de données. Au lieu de cela, cela est probablement lié aux personnes utilisant leur adresse e-mail Gmail sur d'autres sites Web ou services piratés. D'autre part, Microsoft a confirmé qu'entre janvier et mars 2019, les pirates ont pu accéder à un certain nombre de comptes de messagerie Outlook.com, Hotmail et MSN Mail. Mais peut-être que la plus grande violation de données de grande envergure est arrivée à Yahoo. Bien qu'elle ait été signalée en 2016, la violation s'est en fait produite à la fin de 2014.

 Dans cette violation de Yahoo, la société a confirmé que les 3 milliards de comptes de ses utilisateurs avaient été touché. Il semble que toutes les données des anciennes violations de Yahoo et Hotmail / Microsoft n'ont pas été incluses dans COMB. Néanmoins, il est possible que la liste ait été nettoyée des informations d'identification mortes, c'est pourquoi il est essentiel que les utilisateurs vérifient si leurs données ont été divulguées. Semblable à Breach Compilation Cette base de données actuellement divulguée semble s'appuyer sur la compilation des violations de 2017. Dans cette fuite, les analystes du renseignement de 4iQ ont découvert une base de données de fichiers unique contenant 1,4 milliard de paires d'e-mails et de mots de passe, le tout en texte brut.

 À l'époque, cela était considéré comme le plus grand risque de violation d'informations d'identification, presque deux fois plus important que le plus grand risque d'informations d'identification précédent d'Exploit.in qui comptait près de 800 millions d'enregistrements. La compilation des violations de 2017 contenait 252 violations précédentes, y compris celles agrégées des précédents dumps Anti Public et Exploit.in, ainsi que LinkedIn, Netflix, Minecraft, Badoo, Bitcoin et Pastebin. Cependant, lorsqu'ils ont analysé les données, ils ont constaté que «14% des paires nom d'utilisateur / mot de passe exposées n'avaient pas été précédemment décryptées par la communauté et sont désormais disponibles en texte clair».

 Lorsque 4iQ a découvert la compilation Breach, ils ont testé un petit sous-ensemble de mots de passe pour vérification, et la plupart des mots de passe testés ont fonctionné. Les analystes du renseignement déclarent avoir trouvé la décharge de 41 Go le 5 décembre 2017, les dernières données étant mises à jour le 29 novembre 2017. Ils ont également fait remarquer que la fuite n'était pas simplement une liste, mais plutôt une «base de données interactive» qui permettait des «recherches rapides (une seconde réponse) et des importations de nouvelles violations. Étant donné que les gens réutilisent les mots de passe sur leurs comptes de messagerie, de médias sociaux, de commerce électronique, de banque et de travail, les pirates peuvent automatiser le détournement de compte ou la prise de contrôle de compte. » On ne sait pas quelles ont été les répercussions de la compilation Breach.

 Impact possible L'impact sur les consommateurs et les entreprises de cette nouvelle violation peut être sans précédent.

 Étant donné que la majorité des gens réutilisent leurs mots de passe et noms d'utilisateur sur plusieurs comptes, les attaques de bourrage d'informations d'identification constituent la plus grande menace. Si les utilisateurs utilisent les mêmes mots de passe pour leur LinkedIn ou Netflix que pour leurs comptes Gmail, les attaquants peuvent basculer vers d'autres comptes plus importants. Au-delà de cela, les utilisateurs dont les données ont été incluses dans Compilation of Many Breaches peuvent être victimes d'attaques de spear-phishing ou recevoir des niveaux élevés de spams. Dans tous les cas, il est normalement recommandé aux utilisateurs de changer régulièrement leurs mots de passe et d'utiliser des mots de passe uniques pour chaque compte. Faire cela - créer et mémoriser des mots de passe uniques - peut être assez difficile, et nous recommandons aux utilisateurs de faire appel à des gestionnaires de mots de passe pour les aider à créer des mots de passe forts.

 Et, bien sûr, les utilisateurs doivent ajouter une authentification multifacteur, comme Google Authenticator, sur leurs comptes les plus sensibles. De cette façon, même si un attaquant a son nom d'utilisateur et son mot de passe, il ne pourra pas accéder à ses comptes. Nous continuerons d'analyser les données au fur et à mesure que l'histoire se déroule. 

 Mise à jour du 12 février: 

cet article a été mis à jour pour ajouter une nouvelle analyse des domaines Gmail et Yahoo contenus dans la base de données COMB, ainsi que du nombre d'utilisateurs ayant vérifié leurs données sur le vérificateur de fuites de données de CyberNews. En savoir plus sur CyberNews: Essayez les meilleurs fournisseurs de VPN, comme ProtonVPN, Surfshark ou NordVPN. Comparez ExpressVPN avec NordVPN Les logiciels malveillants sur votre ordinateur ou appareil peuvent constituer une menace sérieuse - choisissez judicieusement le logiciel antivirus 350 millions d'adresses e-mail déchiffrées laissées exposées sur un serveur non sécurisé Les fournisseurs de messagerie sécurisés peuvent protéger les informations sensibles que vous envoyez Un guide des meilleurs VPN pour Netflix en 2021 

 

REF.:

jeudi 6 mai 2021

Facebook : les données personnelles de plus de 500 millions d’utilisateurs accessibles en ligne

 

Facebook : les données personnelles de plus de 500 millions d’utilisateurs accessibles en ligne

 

Facebook est victime d’une nouvelle fuite de données personnelles. Un chercheur a découvert les informations de plus de 500 millions d’utilisateurs sur un forum accessible gratuitement.

Le chercheur en cybersécurité Alon Gal a découvert qu’une base de données contenant les informations personnelles de 533 millions d’utilisateurs Facebook avait refait surface sur le web. Il s’agit en effet de données qui avaient déjà fuité en 2019. À l’époque, Facebook avait affirmé avoir résolu le problème.Mais le scandale profile engine date de 2012 :

-ProfileEngine

-vol de donné sensible,sur tout ce qui est blog,réseau social,Facebook,Google,moteur de recherche … depuis 2012 et plus !
Libellés vol d’identité, vol de donné, Google, facebook, rssing, RSS, Blogger, Blog, feedburner est mort, moteur de recherche, ;-)


Mais il faut peu de temps aux hackers pour récupérer ces données, qu’ils espèrent pouvoir ensuite échanger contre de l’argent. La base de données n’a donc jamais été complètement éliminée du web. Alon Gal l’a retrouvé sur un forum de piratage, auquel la plupart des amateurs d’informatique peuvent accéder gratuitement et sans trop d’efforts.

Numéros de téléphone, noms et adresses de 20 millions de Français

Elle contient des informations personnelles d’un total de 533 millions d’utilisateurs, dont environ 20 millions de Français. Ces données incluent les identifiants Facebook, mais aussi des numéros de téléphone, des adresses postales et électroniques, des dates de naissance, des biographies et des noms complets. Avec de telles informations clés, des pirates pourraient tenter d’accéder aux comptes Facebook de ces utilisateurs.

Facebook n’a pour l’instant pas réagi officiellement à cette découverte. Une des porte-parole du réseau social a cependant tweeté le message suivant : « Il s’agit d’anciennes données précédemment rapportées en 2019. Nous avons trouvé et résolu ce problème en août 2019. ». Une réponse un peu légère face la sensibilité des informations concernées. Les données datent certes de 2019, et certains utilisateurs pourraient avoir changé d’adresse ou de partenaire depuis. Mais il semble peu probable qu’ils aient changé leur nom ou leur date de naissance.

En décembre 2019, les informations de 267 millions de comptes avaient également fuité en ligne. Elles concernaient majoritairement des utilisateurs américains. Il semblerait que cette base de données datant de la même année soit donc différente. Une fois qu’une telle fuite a eu lieu, les informations peuvent refaire surface à tout moment, même des années plus tard, explique Alon Gal. Le chercheur admet en outre qu’il est désormais trop tard pour protéger les données de ces 533 millions d’utilisateurs. Si vous avez un compte Facebook créé avant 2019, il est donc primordial d’être vigilant face aux potentielles menaces de fraude et de piratage.

Source. : Engadget

jeudi 10 décembre 2020

Un trio arrêté pour le vol d’identité de milliers de profs

 

 

Un trio arrêté pour le vol d’identité de milliers de profs

Des victimes craignent cependant d’en subir à nouveau les conséquences

FD-ARRESTATIONS-VOL-IDENTITE

Trois Montréalais ont finalement été épinglés vendredi par la Sûreté du Québec pour un vol massif de données personnelles et de fraudes aux dépens de milliers d’enseignants à travers la province.

La présumée tête dirigeante de cette affaire, Rath Pak, 41 ans, ainsi que Frédéric Lapointe, 41 ans, et Jimmy Saintelien, 39 ans, ont été libéré sous promesse de comparaître, après avoir été arrêtés en matinée par la Sûreté du Québec (SQ).

Le trio devrait être accusé à une date ultérieure d’avoir orchestré un stratagème de vol d’identités et de fraudes qui a possiblement mis à risque les données personnelles de la majorité des enseignants et ex-enseignants de la province, soit plus de 360 000 personnes.

« L’un d’eux a été arrêté une première fois en février 2019. Les deux autres avaient été rencontrés. Il n’y avait pas eu d’accusations à l’époque », a précisé vendredi le sergent de la SQ Louis-Philippe Bibeau, pour justifier cette deuxième frappe.

Au printemps 2018, les suspects, qui faisaient partie d’une « petite structure » organisée, auraient profité d’une brèche informatique pour subtiliser ces données.

Avec celles-ci, ils auraient créé de faux permis de conduire et falsifié des cartes d’assurance maladie pour obtenir des cartes de crédit, notamment.

Puis, une « anomalie de connexion » aurait vendu la mèche des malfaiteurs.

L’enquête, baptisée « Précieux », avait ensuite mené à cinq saisies lors desquelles avait été trouvée une clé USB contenant les numéros d’assu-rance sociale, noms, prénoms et dates de naissance de 51 400 profs.

Encore des risques

Plus récemment, Le Journal rapportait que certains avaient été victimes de demandes de PCU à leur nom. Ces cas laissent présager que leurs infos pourraient avoir circulé sur le dark web

« Avec les vols de données chez Desjardins et Capital One, je ne sais même pas quelle est la [vraie] cause, se désole Martin Guay, un enseignant de Rouyn-Noranda dont l’identité a été usurpée. Mais je suis content de voir qu’il y a un aboutissement avec des arrestations. »  

Ce coup de filet s’avère une « bonne nouvelle » pour d’autres victimes également, sans toutefois les rassurer quant aux possibles conséquences futures.

« J’ai juste abandonné, dit de son côté un prof qui a préféré rester anonyme. Je suis sûr que mes données circulent partout. Et notre employeur n’a pas bien géré la situation. Il a mis du temps à reconnaître que nos données avaient été mises à risque. Je trouve qu’il l’a échappé. »

« Comment peut-on être dédommagés ? Ma cote de crédit est affectée. Je paie trop d’intérêts sur mon hypothèque, déplore François Charland, 35 ans, père de famille et enseignant en mathématiques à Québec. En fin de compte, les banques sont contentes. Elles ont touché l’argent et les intérêts, et c’est nous qui absorbons. C’est ce que je trouve le plus aberrant. »

- Avec Axel Marchand-Lamothe et Arnaud Koenig-Soutière

lundi 22 juin 2020

Les données des comptables canadiens sur des sites de pirates russes


Les données des comptables canadiens sur des sites de pirates russes

Les courriels de 134 079 sont accessibles en ligne


Un expert en cybersécurité a trouvé les données personnelles des comptables canadiens sur des sites de pirates informatiques russes.

Damien Bancal, directeur de la cyberintelligence chez 8Brains, a mis la main sur une liste de dizaines de milliers d’adresses courriel issues du site des Comptables professionnels agréés du Canada (CPA Canada).

L’organisation annonçait hier que des pirates informatiques ont pu accéder aux renseignements personnels de 329 000 personnes contenues dans sa base de données, dont 47 000 Québécois.

Damien Bancal a trouvé une partie de ces informations sur un site rédigé en russe qu’il infiltre depuis des années, puis sur un deuxième site, également en cyrillique.

Cordonniers mal chaussés

Notre Bureau d’enquête a lui-même pu télécharger la base de données, avant de la détruire après l’écriture de ce reportage. Elle contenait 134 079 adresses courriel.

Nous avons pu contacter certains individus concernés.

« Ça ne me surprend pas, mais ça me déçoit, dit Frédéric Vachon, un comptable au ministère des Affaires mondiales, dont le courriel apparaît dans la base de données. Les CPA, on est censés être les chefs de file de la sécurité de l’information. Ça fait un peu cordonnier mal chaussé. »

Même résignation chez Véronique Minier, comptable aux Fonds régionaux de solidarité FTQ. 

« On dirait que plus rien ne nous étonne dans la sécurité sur internet, dit-elle. Les hackers sont de plus en plus compétents. »

« Avec ces informations, le pirate peut écrire à des milliers de comptables pour les piéger », dit Damien Bancal.

Les victimes deviennent donc plus susceptibles de recevoir des messages d’escrocs qui auraient racheté les informations piratées pour des campagnes d’hameçonnage.

La base de données trouvée sur les sites russophones contient aussi des suites de caractères sans signification, issues du chiffrement de certaines données.

On le sait

Il s’agit de mots de passe pour accéder au site de CPA Canada, protégés par chiffrement. Cinq pirates discutaient d’ailleurs pour tenter de décrypter ces caractères hier, mais ils n’y étaient toujours pas parvenus, souligne Damien Bancal.

« CPA Canada est au courant que cette liste circule », écrit le porte-parole de l’organisation, Perry Jensen, dans un courriel à notre Bureau d’enquête. L’information qu’elle contient est incluse dans la fuite déclarée hier.

Les recherches de Damien Bancal démontrent que des dizaines d’autres hackers ont pu télécharger les renseignements. « Sur une publication, 60 personnes avaient réagi pour dire qu’ils aimaient, dit-il. Autant d’individus qui les ont probablement téléchargés. »

Les fraudeurs ont pu accéder aux systèmes sur cinq mois, du 30 novembre 2019 au 1er mai 2020, selon CPA Canada.




mercredi 15 avril 2020

Vieux problêmes toujours a la mode ,vol d'identité: Ça sent la marde !

Vieux problêmes toujours a la mode ,vol d'identité: Ça sent la marde !

-RSSing

-Yatedo,Yatedo est un moteur de recherche sémantique de personnes qui aide ses utilisateurs à retrouver et à contacter n’importe qui via le web1.

-ProfileEngine

-vol de donné sensible,sur tout ce qui est blog,réseau social,Facebook,Google,moteur de recherche ... depuis 2012 et plus !





vol d'identité, vol de donné, Google, facebook, rssing, RSS, Blogger, Blog, feedburner est mort, moteur de recherche,



La CNIL adresse un avertissement à Yatedo

Tu veux ma photo?  
La CNIL a annoncé hier avoir adressé un avertissement à Yatedo, une société française proposant un moteur de recherche agrégeant des données personnelles rendues publiques par les internautes sur des réseaux sociaux comme Viadeo ou LinkedIn. Pour l'autorité administrative, Yatedo manquait à certaines obligations imposées par la loi Informatique et Libertés de 1978, concernant notamment le droit d'opposition des utilisateurs.


Comme l’explique la CNIL, les sites Yatedo.com et Yatedo.fr diffusent « des fiches nominatives sous la forme de curriculum vitae, contenant notamment l’identité, les expériences professionnelles, la formation et la photographie » d’internautes ayant mis publiquement à disposition certaines informations sur d’autres sites Internet. Entre février 2011 et mars 2012, l’autorité administrative reçoit plus d’une trentaine de plaintes s’agissant de cette société. Certaines de ces requêtes lui ont même été transmises par ses homologues britanniques et néerlandaises.

En cause : l’attitude de Yatedo, qui ne répondait pas à leurs demandes de suppression de données. Dans certains cas, certains individus s’alarmaient même de voir des informations « périmées » toujours mises en avant sur le site Yatedo. La CNIL relate ainsi la situation d’un plaignant qui indiquait « que les informations de son profil LinkedIn étaient mises en ligne sur le site " yatedo " alors que son profil était supprimé depuis plus de deux ans ». L’autorité administrative relève par ailleurs que ce problème est d’autant plus gênant que les informations diffusées par Yatedo se trouvent par la suite référencées « par répercussion (...) par les moteurs de recherche tels que Bing, Google et Yahoo ! ».



Le 22 novembre 2011, la CNIL décide d’ouvrir une mission de vérification auprès de la société, après que la grande majorité de ses propres courriers soient eux aussi restés lettre morte. Convoqués par la Commission, les responsables de la société ne se rendent pas non plus à l’audition. Au total, l’autorité aura envoyé plus de trente lettres, dont une vingtaine en recommandé avec accusé de réception.

Des manquements à la loi de 78 et un défaut de coopération avec la CNIL

Dans une délibération (disponible en PDF) en date du 1er juin, la Commission a décidé d’adresser un avertissement à Yatedo, dans la mesure où la société a méconnu la loi de 1978 sur plusieurs aspects.

En effet, la CNIL considère dans un premier temps que Yatedo a manqué à son obligation de mise à jour des données : « [Yatedo] a permis la diffusion de données périmées, provoquant des préjudices d’image et de réputation aux personnes concernées, susceptible d’être autant plus grands que les informations et images figurant sur des réseaux sociaux ou des blogs, par nature, évoluent très rapidement ».

Deuxièmement, la CNIL estime que Yatedo n’a pas respecté « le droit d’opposition des personnes [pourtant] garanti par la loi » de 1978. « Il n’est pas acceptable que le développement d’une activité commerciale reposant exclusivement sur l’indexation des données à caractère personnel de personne sur les réseaux sociaux ne prenne pas en compte (...) des procédures permettant à ces personnes de faire respecter leurs droits de manière effective, rapide, et durable ».

La CNIL s’est enfin attaquée à l’attitude de la société, qui n’a répondu que dans de faibles proportions à ses demandes. Le message est relativement clair : « Une telle attitude, si elle ne relève pas de la mauvaise foi, s’apparente à tout le moins à une forme de négligence inacceptable ».

L’autorité administrative relève néanmoins que la société n’a jamais nié les faits qui lui sont reprochés, et a annoncé qu’elle allait faire des efforts pour résoudre certains problèmes. Un salarié dédié à la gestion et aux « traitement[s] des demandes d’exercice du droit d’opposition » des utilisateurs aurait ainsi dû prendre ses fonctions au 1er juin. La société s’est également engagée à « supprimer les profils de l’ensemble des personnes ayant porté plainte auprès de la CNIL », ainsi qu’à « simplifier sa procédure d’opposition et de réduire les délais de traitement des demandes de suppression ».

Yatedo écope finalement d’un simple avertissement, la plus petite sanction que peut prononcer la CNIL. Ce dernier a toutefois été rendu public, ce qui marque la détermination de l'autorité administrative face à l'entreprise. Si les manquements condamnés par la Commission perduraient, d’autres sanctions plus importantes pourraient alors être envisagées.

Précisions : la société mise en cause nous a apporté de précieux éléments de réponses après la délibération de la CNIL. Si elle n'a pas répondu aux demandes de celle-ci c'est tout simplement parce que la start up n'avait aucune structure sociale ni adresse fixe : les courriers étaient adressés à l'ex employeur d'un des cofondateurs, qui se gardaient de les transmettre à ce dernier. Une fois alertés, les cofondateurs se sont bien rendus dans les locaux de la CNIL pour 2 heures et demi d'audience afin de s'expliquer sur ce faux pas de jeunesse. La société poursuit aujourd'hui son ascension en ayant encadré sa politique de données personnelles, conformément aux voeux de la CNIL. (M.R.)

REF.:

dimanche 15 mars 2020

Votre téléphone vous écoute‑t‑il ?

Votre téléphone vous écoute‑t‑il  ?

Les médias sociaux écoutent-ils nos conversations pour nous cibler avec des publicités? Ou sommes-nous simplement victimes de nos peurs? On fait le test!




espionnage, cell, Smartphones, le produit c'est vous, gratuit, réseaux sociaux, Hackers, vol d'identité, vol de donné,
 
 


Nous avons tous entendu dire que nos téléphones pouvaient écouter nos conversations quotidiennes pour ensuite nous bombarder de publicités ciblées. Mais y a-t-il une part de vérité dans cette affaire? Avez-vous déjà mis cette théorie à l’épreuve, par exemple avoir parlé d’un produit obscur avec des amis, avant d’attendre pour voir si une publicité pour l’aspirateur ou la passoire parfumée que vous avez mentionnée apparaissait dans vos flux d’actualité sur les médias sociaux?   Si le test n’a pas été concluant, c’est peut-être simplement que vous avez oublié à propos de votre expérience.  En revanche, si la publicité en question est effectivement apparue, vous vous êtes probablement dit que votre téléphone écoutait vos moindres mots et empiète désormais sur votre vie privée.
La question de savoir si les applications de médias sociaux sont capables d’écouter a fait l’objet de nombreuses discussions. De nombreuses personnes ont même remarqué que des publicités ciblées obscures apparaissaient dans leurs flux après avoir parlé d’elles dans une conversation quotidienne. Cependant, cela serait illégal dans la plupart des pays sans que l’utilisateur en soit totalement conscient, sans parler des difficultés que cela pose aux entreprises.
J’ai donc décidé de savoir ce que les utilisateurs de Twitter pensent du sujet et j’ai créé un sondage pour savoir si les gens croient que leur téléphone ou leurs applications les écoutent. J’ai reçu 234 votes. Les résultats: 80% des gens affirment que leur téléphone les écoute.  C’est un résultat très intéressant, surtout considérant que la majorité de mes abonnés et de mes retweets proviennent de la communauté de la cybersécurité.

Prenons un moment pour nous pencher sur la question. Tout d’abord, nous devons reconnaître que ceci constituerait un scandale énorme prêt à éclater à chaque moment. En effet, si jamais cela venait à se savoir, les services en ligne concernés seraient poursuivis en justice, ce qui pourrait les conduire à la faillite et à ne plus jamais être revus.

Les chiffres

Parlons du volume de données nécessaires pour écouter nos conversations. Lors d’un enregistrement audio, la consommation de la conversation générale serait d’environ 115 mégaoctets par heure (profondeur de 15 bits, en mono, calculée ici). Donc, pour une journée normale, disons que nous sommes éveillés pendant environ 15 heures en moyenne (sans compter les conversations et les pensées intérieures de votre sommeil – bien que cela soit intéressant!)
Cependant, nous ne parlons pas tous pendant toute la journée, alors ne considérons qu’un quart de cette durée. Nous nous attendons maintenant à environ 430 mégaoctets d’audio par jour et par personne. Il y a 800 millions de personnes sur Instagram, donc si elles enregistraient nos conversations de chacun d’entre nous sur Instagram, elles auraient besoin de stocker environ 344 pétaoctets (1015 octets) de données par jour. Pour mettre cela en perspective, il y a environ 2500 pétaoctets (ou 2,5 exabytes, ou 1018 octets) de données créées chaque jour dans le monde entier à notre rythme actuel. Les plateformes de médias sociaux seraient-elles vraiment capables de traiter une telle quantité de données par jour, même si elles étaient compressées?
La théorie la plus probable est que les médias sociaux ne seraient pas en mesure de traiter de façon réaliste cette quantité de données qui affluent chaque jour, sans parler de les examiner et de les utiliser. Il est beaucoup plus facile d’analyser les données des individus d’une autre manière et de les profiler à partir de données qui sont déjà en ligne. Ces profils comprennent : votre âge (soit à partir de la date de naissance que vous avez saisie ou via un logiciel de détermination de l’âge), votre sexe, une analyse de photos pour déterminer vos centres d’intérêt, la lecture de légendes et de hashtags dans les posts et les informations que vous donnez – même le temps que vous passez sur des posts que vous ne fréquentez pas par ailleurs.
Leurs algorithmes sont ensuite capables de déterminer si vous êtes célibataire, si vous avez un emploi, des enfants, un animal domestique, si vous possédez une voiture, votre style vestimentaire, vos loisirs, vos futurs centres d’intérêt…, la liste est pratiquement infinie. Ils sont même capables de deviner en toute connaissance de cause quel sera votre prochain achat avant même que vous n’y ayez réfléchi.
La théorie entourant l’écoute des médias sociaux suggère que si vous ne voulez pas que vos conversations soient surveillées, vous devez alors éteindre le microphone de l’application. Vous avez peut-être remarqué que lorsque vous éteignez le microphone dans Instagram, vous ne pouvez pas poster dans Stories. Ce ne serait pas la fin du monde pour moi, alors j’ai décidé de le tester.

Le test: première partie

Pour essayer de séduire des publicités intéressantes et faire de ce test un test sérieux, j’ai laissé le microphone de mon téléphone allumé pendant 2 semaines et j’ai eu des conversations claires très aléatoires (et hilarantes) sur 3 sujets aléatoires dont je n’avais pas parlé auparavant :
  • Que je suis devenu végétalien;
  • Que je veux acheter des talons hauts;
  • Et je pense à construire une piscine dans mon jardin arrière.
Ce sont les annonces que j’ai effectivement reçues sur Instagram :
  • Des lunettes de snowboard;
  • Chaussures imperméables;
  • Un skateboard électrique;
  • Un médicament contre la toux;
  • Du gin;
  • Des voitures Volkswagen.
Je n’ai rien eu à faire avec la nourriture végétalienne, les talons hauts ou la construction d’une piscine dans mon jardin arrière, dont je suis dégoûtée car j’aurais aimé manger des avocats sur des toasts dans ma piscine gonflable tout en portant une paire de talons Gucci.
Bref, je n’ai reçu aucune publicité concernant les sujets dont j’ai parlé. En revanche, j’étais quand même intéressé par les annonces que je recevais. Il ne faut pas être un génie pour déduire que je suis intéressé par les produits ci-dessus et que je suis susceptible de les acheter à un moment donné. D’après mon Instagram, vous remarquerez assez facilement que j’ai la fin de la trentaine, que je suis marié, que je suis père de famille, que je m’intéresse aux activités de plein air et en particulier aux sports extrêmes.
Mais voici la partie intéressante. Ai-je parlé récemment de quelque chose en rapport avec la liste ci-dessus? Il y a peut-être une bonne raison pour que chacun soit là. Voici ma théorie pour expliquer chacune de ces annonces :
Des lunettes de snowboard : J’ai mentionné à plusieurs personnes que je vais bientôt faire du snowboard, mais les applications m’écoutent-elles? Non. Je suis un fan de plusieurs compagnies de snowboard et j’aime régulièrement leurs annonces. De plus, j’ai rédigé ce blog en décembre. C’est donc la haute saison pour les sports d’hiver dans l’hémisphère nord – et grâce aux données de localisation de mon téléphone et aux informations d’adresse de mon profil, Instagram sait bien que j’y réside.
Des médicaments contre la toux : J’ai fait ce test en décembre 2019. Effectivement, je toussais un peu. Ceci dit, c’était aussi le cas de bien des gens. Encore une fois, c’était la haute saison pour ce type de médicaments. D’ailleurs, on pouvait également voir des publicités pour les médicaments contre la toux à la télévision durant la même période. Je ne pense pas que les publicités télévisées nous ciblent en fonction de ce que nous disons en ligne. Pour l’instant, du moins.
Les voitures Volkswagen : J’ai 38 ans, j’ai une jeune famille et j’aime le plein air. Je corresponds au profil démographique de la clientèle potentielle de VW.

Le test : Deuxième partie

J’ai ensuite éteint mon microphone pendant deux semaines dans Instagram et j’ai reçu des publicités de la part des personnes suivantes :
  • A bière HopHouse;
  • Des sacs de voyage pour le snowboard;
  • Une sélection de plateaux de fromage du supermarché Morrisons;
  • Des chaussures Nike;
  • Du chocolat Cadbury.
Les sacs de voyage pour le snowboard sont similaires à ceux que j’avais avant. La bière Hophouse, le plateau de fromage du supermarché et le chocolat Cadbury sont plus probablement explicables par le fait que ce test a été effectué deux semaines avant Noël. Le cas des chaussures Nike est intéressant, car j’ai récemment acheté des chaussures Nike en ligne. J’imagine donc que ces données ont été recueillies sur les différents appareils avec lesquels j’ai consulté les pages de chaussures Nike tout en étant connecté à Facebook
Ce dont nous sommes conscients, c’est que ces entreprises en savent beaucoup sur nous. Leurs algorithmes sont le moteur de leur activité et les rendent rentables. Les algorithmes ne sont pas là pour nous rassembler; ils existent simplement pour faire de l’argent et développer des cibles qui se manifestent par de la publicité micro ciblée. Ils ne sont pas légalement autorisés à nous écouter à notre insu, mais cela peut sembler être le cas avec d’innombrables exemples de personnes essayant de « démontrer » que nous sommes sous écoute. Certaines personnes prétendent que cela ne les dérange pas, mais d’autres y voient une atteinte à leur vie privée. Soulignons qu’Amazon propose aux usagers de choisir de faire écouter leurs conversations par son service Alexa afin de leur offrir des publicités plus adaptées.

Qui a accès à quelles données?

Mais selon moi, la question centrale demeure : Les géants des médias sociaux sont-ils capables de lire ce que nous écrivons dans les applications de messagerie WhatsApp, Facebook Messenger et Instagram Direct Messages? Ces applications appartiennent toutes à Facebook, la question pourrait donc être soulevée. Bien que les messages transmis par ces services soient chiffrées, afin de protéger les utilisateurs contre l’écoute par des tiers (tels que les forces de l’ordre ou les gouvernements autoritaires), les opérateurs de services peuvent-ils quant à eux lire le contenu des messages pour mieux cibler les publicités sur leurs utilisateurs?
Quoi qu’il en soit, on se doit de reconnaître que chacun de ces algorithmes ont des capacités exceptionnelles. Personne ne sait exactement comment ils fonctionnent, ni ce qu’ils savent vraiment sur nous. Une chose est sûre : ils capturent une tonne de données pertinentes, clés et personnalisées, et cela représente des millions de dollars pour eux. N’oubliez pas que si vous obtenez tous ces produits gratuitement, c’est que le produit est probablement vous.


Une violation de données au ministère de la Défense américain




Une violation de données au ministère de la Défense américain

Sécurité : La DISA a révélé que les informations personnelles de ces employés ont été exposés pendant plusieurs mois l'an dernier, sans donner plus de détails.

La DISA (Agence de défense des systèmes d'information), une agence du ministère de la Défense chargée de fournir des télécommunications sécurisées et un soutien informatique à la Maison Blanche, aux diplomates américains et aux troupes militaires, a révélé une violation de données.
Les employés de la DISA ont reçu la semaine dernière des lettres les notifiant de cet incident de sécurité, révélant qu'il a eu lieu entre mai et juillet 2019, à cause d'un système de la DISA qui « a pu être compromis ». La DISA affirme que les informations personnelles des employés, y compris les numéros de sécurité sociale, ont été exposées pendant cette période, mais n'a pas précisé combien d'entre eux ont été touchés.
publicité
L'agence n'a pas fourni d'autres détails sur cet incident, mais elle avait déjà prévenu avant même l'envoi de la lettre qu'aucune preuve ne suggérait que les données personnelles des employés avaient été utilisées de manière abusive.
D'après Reuters, qui a eu vent de cette lettre ce jeudi, la DISA emploie environ 8 000 employés, militaires et civils. La DISA offre désormais une surveillance gratuite à tous ceux qui ont été touchés, conformément à la législation américaine.
C'est la deuxième violation de données révélée par le ministère de la Défense américain ces deux dernières années. En octobre 2018, plus de 30 000 membres du personnel militaire et civil du ministère avaient vu leurs données personnelles et financières exposées, à cause d'une faille de sécurité chez un prestataire externe.

Source : ZDNet.com

mercredi 11 mars 2020

Fuite et vol de mots de passe d’élus disponibles sur le web


Fuite et vol de mots de passe d’élus disponibles sur le web

Des mots de passe d’élus disponibles sur le web

 





vol d'identité, vol de donné, DarkWeb, mot de passe, Hackers,
 
 


Des milliers de mots de passe d’élus et de fonctionnaires, dont certains liés à Justin Trudeau et à des députés de l’Assemblée nationale, ont été piratés et sont disponibles sur le dark web. Ces fuites pourraient mettre des informations sensibles à risque.    
Même des directeurs de la Sûreté du Québec et un sous-ministre fédéral de la Justice ont été victimes du vol, a constaté notre Bureau d’enquête au cours des dernières semaines.                 
Ces fuites ne signifient pas nécessairement que les systèmes informatiques des gouvernements ont été directement infiltrés.                 
Ils pourraient cependant faciliter le travail de criminels qui voudraient accéder à des réseaux gouvernementaux.                 

Informations volées     

Le ministère de l’Éducation vient justement d’annoncer qu’un mot de passe dérobé a servi à voler les informations de 360 000 enseignants.                 
Plusieurs pirates qui diffusent ces mots de passe déclarent qu’ils proviennent de fuites déjà connues, comme celles qui ont frappé LinkedIn, Dropbox et le site de rencontres coquines Ashley Madison.                 
Dans ces cas-là, les victimes du vol de mots de passe ont utilisé leur courriel professionnel pour se connecter à leurs comptes sur ces sites.                 
Or, les internautes ont tendance à utiliser des mots de passe similaires d’un site à l’autre, et mettent donc leur code d’accès professionnel à risque.                 
« Ça facilite la vie des hackers, explique Mathieu Jacques, fondateur du consultant en cybersécurité Microfix. Quand on a 90 % d’un mot de passe, c’est facile d’utiliser un robot pour l’avoir au complet ! »                 
S’ils réussissent, les pirates peuvent ensuite revendre l’information à des spécialistes du vol d’identité, de l’espionnage ou des cyberattaques.                 
Des experts s’inquiètent et croient que les organismes gouvernementaux n’en font pas suffisamment pour avertir les victimes de ces vols de mots de passe lorsqu’ils sont détectés sur internet.                 

Tenus dans l’ignorance     

La majorité des victimes qu’a contactées notre Bureau d’enquête ignoraient avoir été la cible de piratage.                 
« Je vais aller poser la question à savoir pourquoi, si un journaliste du Journal de Montréal est capable de trouver ça, on [ne] m’a pas informé plus tôt », affirme François Daigle, sous-ministre délégué de la Justice, dont un mot de passe a fuité.                 
Plusieurs organisations concernées sont réticentes à expliquer ce qui s’est passé. Certaines assurent qu’elles étaient déjà au courant.                 
Tous les organismes publics affectés disent s’être dotés de politiques d’utilisation sécuritaire des courriels. Ils interdisent l’utilisation de l’adresse professionnelle sur des sites tiers et prévoient des changements réguliers de mots de passe.                 
- Avec la collaboration d’Andrea Valeria 

Notre démarche     

Nous avons utilisé un moteur de recherche conçu pour détecter les données piratées qui se trouvent sur le dark web. Ce logiciel ne révèle que les quatre premiers caractères des mots de passe qu’il peut trouver. Nous avons ensuite retrouvé certains mots de passe complets sur un forum de voleurs d’identité.        
Éric Caire 
bilan informatique Caire
Photo d'archives, Simon Clark
  • Ministre délégué à la Transformation numérique gouvernementale                       
Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale.                 
Ce qu’il avait à dire : Son attachée de presse Nathalie Saint-Pierre indique que son patron ne se souvient pas d’avoir utilisé ce mot de passe.                 

François Daigle  
  • Sous-ministre délégué de la Justice                       
Ce que nous avons trouvé : Un mot de passe associé à son adresse gouvernementale.                 
Ce qu’il avait à dire : « Merci de l’avoir porté à mon attention. Je ne l’aurais jamais su autrement », souligne le deuxième plus haut fonctionnaire au ministère de la Justice à Ottawa. La fuite de son mot de passe semble liée à la brèche majeure ayant frappé LinkedIn en 2016.                 

Une greffière du palais de justice de Montréal 
Ce que nous avons trouvé : Un mot de passe avec lequel elle accédait jusqu’à l’été 2019 au système informatique du ministère de la Justice.                 
Ce qu’elle avait à dire : Le mot de passe servait notamment à prendre ses courriels et démarrer l’enregistrement sonore dans les salles de cour. « C’était le mot de passe pour accéder à tout », soutient l’ancienne fonctionnaire, qui vient de quitter son emploi et demande à conserver l’anonymat. Elle non plus n’avait pas été avisée de la fuite.                 

Guy Ouellette 
Periode des questions
Photo d'archives, Simon Clark
  • Député indépendant                       
Ce que nous avons trouvé : Deux mots de passe associés à l’une de ses adresses de l’Assemblée nationale.                 
Ce qu’il avait à dire : L’ancien libéral a déjà utilisé l’un des deux codes d’accès pour consulter des courriels reçus sur le réseau de l’Assemblée nationale. L’autre mot de passe a vraisemblablement servi à se connecter sur le réseau LinkedIn. Personne ne l’a avisé de la situation, même si la fuite semble dater de plusieurs années. « Il va falloir vérifier s’ils font vraiment une veille là-dessus, note-t-il. Je vais faire certaines vérifications en ce qui me concerne. »                 

Justin Trudeau 
FILES-CANADA-ROYALS-CELEBRITY-BRITAIN
Photo d'archives, AFP
  • Premier ministre du Canada                       
Ce que nous avons trouvé : Quatre mots de passe associés à autant d’adresses courriel de la Chambre des communes. L’un d’eux se trouve sur le web clandestin depuis au moins 2012 sous forme non encryptée. Certaines données semblent liées aux brèches ayant touché Dropbox, un site de partage de fichiers, et myheritage.com, spécialisé dans les recherches généalogiques.                 
Ce qu’il avait à dire : « Ce sont des adresses de député, pas des adresses du bureau du premier ministre. Ceux qui les utilisent, ce sont des employés dans la circonscription », dit Ann-Clara Vaillancourt, attachée de presse au cabinet de Trudeau.                 

Paul Crépeau  
  • Directeur exécutif du Conseil de la magistrature ; Ancien procureur de la commission Charbonneau                       
Ce que nous avons trouvé : Un mot de passe associé à une ancienne adresse gouvernementale.                 
Ce qu’il avait à dire : Il s’en servait pour plusieurs comptes, jusqu’à notre appel. Le code est associé à son ancienne adresse du Directeur des poursuites criminelles et pénales, qu’il a quitté en 2012. Après notre discussion, M. Crépeau a communiqué avec son ancien employeur. « Je leur ai dit : “Je sens que vous avez peut-être un problème au niveau de la sécurité !” »                 
♦ Notre Bureau d’enquête a aussi trouvé des mots de passe associés à deux autres procureurs, qui n’avaient pas été avertis non plus. 

Pascal Bérubé 
PQ Pascal Berube
Photo d'archives, Simon Clark
  • Chef intérimaire du Parti québécois                       
Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale.                 
Ce qu’il avait à dire : Le député de Matane s’en servait pour se connecter à des sites tiers. La sécurité de l’Assemblée nationale ne l’a jamais avisé. « Si mon mot de passe circule avec un courriel, ce n’est pas très rassurant ! lance-t-il. Merci au Journal de nous avertir, on va prendre des mesures. »                 

François Croteau  
  • Maire de l’arrondissement de Rosemont–Petite-Patrie, à Montréal                       
Ce que nous avons trouvé : Un mot de passe associé à son adresse courriel de la Ville.                 
Ce qu’il avait à dire : « C’est le mot de passe que j’avais jusqu’en 2018 pour me connecter à mon logiciel Lotus Notes de la Ville ! » Messagerie électronique, connexion au réseau Wi-Fi, téléchargement d’ordres du jour... Le code servait à toutes ces fonctions, jusqu’à ce que la Ville passe à un système plus sécuritaire, à double authentification.                  

Filomena Rotiroti  
Filomena Rotiroti
Photo courtoisie
  • Députée de Jeanne-Mance–Viger                      
Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale.                
Ce qu’elle avait à dire : La députée croit qu’elle utilisait ce mot de passe pour accéder au site de mise en forme myfitnesspal.com. Personne ne l’a jamais avisée.                

Denis Audet  
  • Directeur de la gestion des contrats au ministère de la Justice du Québec                      
Ce que nous avons trouvé : Un mot de passe associé à son adresse gouvernementale.                
Ce qu’il avait à dire : Le haut fonctionnaire utilisait encore le code d’accès dont nous avons retrouvé les quatre premières lettres pour se connecter à des systèmes du gouvernement. « Je vais devoir vérifier ça », affirme-t-il. Denis Audet se dit surpris de n’avoir jamais été averti de la fuite.                 

La Sûreté du Québec et la police de Montréal 
Ce que nous avons trouvé :  
  • 258 mots de passe d’employés de la Sûreté du Québec, dont certains hauts gradés des enquêtes criminelles.                 
  • 110 mots de passe associés à la police de Montréal. On y retrouve des codes de chefs de postes de quartier. Des adresses sont associées au site de rencontres extraconjugales Ashley Madison, ce qui pourrait permettre de faire chanter des agents.                                  
Ce qu’ils avaient à dire :  
  • À la Sûreté du Québec, le porte-parole Hugo Fournier assure que l’organisation est au courant de ces fuites de mots de passe depuis janvier 2018.                                  
L’organisation n’a reçu aucune plainte à ce sujet et a donc décidé de ne pas enquêter. Elle croit que ces fuites proviennent des données d’un site tiers ayant subi une brèche informatique.                                 
  • « Une enquête a permis de démontrer qu’aucune information sensible n’avait été compromise, déclare de son côté la police de Montréal. Un ensemble de mesures a également été mis en place pour empêcher que ces adresses courriel puissent être utilisées à mauvais escient. »                            

Lexique  

Web clandestin (dark web)  
Partie du web non répertoriée par les moteurs de recherche comme Google, où se concentrent les activités illicites (distribution et revente de drogue, pornographie juvénile, données personnelles volées, etc.).                
Encryption (ou chiffrement)  
Modification dans le codage numérique d’une information pour la rendre illisible par quelqu’un qui ne détient pas la clé de décryption.                
Double authentification  
Système où l’utilisateur doit entrer un code apparaissant sur un autre appareil, comme un téléphone, en plus de son mot de passe, avant de pouvoir se connecter à un réseau.              

Des experts s’inquiètent  

Des experts en cybersécurité croient que les gouvernements doivent redoubler de vigilance pour détecter les fuites de mots de passe qui pourraient compromettre leurs informations et celles de leurs employés.                 
« Ce n’est pas encore pris au sérieux », affirme l’expert en cybersécurité Mathieu Jacques.                
Selon lui, les autorités devraient systématiquement informer leurs employés de la présence de mots de passe leur étant associés sur le web clandestin, même s’ils ont été changés et qu’ils sont associés à des fuites déjà connues.                
« Tous les utilisateurs devraient être notifiés pour leurs propres problèmes », soutient M. Jacques, fondateur de Microfix, une firme qui aide les entreprises à colmater leurs vulnérabilités informatiques.                

Plusieurs façons  

Comment ces données sont-elles arrivées entre les mains de pirates ?                 
La réponse varie énormément selon les cas, disent les experts.                                 
  • La victime peut avoir utilisé son adresse courriel professionnelle comme identifiant pour se connecter à un autre site qui s’est fait pirater, comme LinkedIn, Dropbox ou Ashley Madison.                                  
« C’est généralement la source d’information piratée la moins valide, ne serait-ce que parce que l’information sur ces brèches est connue et les usagers diligents ont déjà changé leur mot de passe », explique M. Jacques.                                 
  • Quelqu’un peut avoir utilisé un ordinateur à la maison ou ailleurs, infecté par un virus, pour se connecter à son compte professionnel, et s’être alors fait voler l’information.                                  
Pour ce faire, les pirates peuvent utiliser le keylogging : un logiciel espion qui transmet les touches sur lesquelles tape la victime, et enregistre son activité.                                 
  • La victime peut avoir été « hameçonnée » (phishing) : au téléphone, par texto, par courriel ou à l’aide d’un faux site, le pirate l’a convaincue de partager son mot de passe en se faisant passer pour un interlocuteur légitime.                 
  • Pire scénario : l’organisme lui-même peut avoir directement été victime d’une attaque ou d’un vol d’informations, comme Desjardins et le ministère de l’Éducation.                                  

Grave problème  

Chose certaine, le vol de mots de passe est un grave problème dans les organisations, publiques ou privées, assure Damien Bancal, spécialiste en cyberintelligence.                
« Des fuites, il y en a à profusion, dit-il. Après le vol, les pirates peuvent utiliser les informations pendant des années, les revendre plusieurs fois... »                
Les gouvernements prennent-ils la chose à la légère ? « Ça évolue dans le bon sens, note M. Bancal. Mais leurs experts en sécurité ne peuvent pas surveiller chaque employé. »                

À quoi ça peut servir ?  


Un mot de passe valide peut être d’une grande utilité pour un pirate qui veut voler une identité afin de commettre des méfaits.                
Attaque par force brute 
Utiliser un réseau d’ordi-nateurs qui teste rapidement des milliers de mots de passe pour pénétrer dans un système informatique public. Une fois entré, le pirate peut :                                 
  • Crypter les données et exiger une rançon pour les déchiffrer ;                 
  • Accéder à des dossiers secrets pour faire de l’espionnage ou voler des informations confidentielles.                                  
Hameçonnage  
Se faire passer pour un technicien informatique ou un autre interlocuteur légitime en utilisant des données personnelles comme un identifiant et un mot de passe.                
Soutirer ensuite d’autres informations personnelles, comme d’autres codes d’accès, qui permettront de commettre des fraudes.                
Atteinte à la réputation 
Pénétrer une boîte courriel ou un compte LinkedIn pour envoyer des menaces ou insulter d’autres personnes.                
Fraude, extorsion  
  • Se cacher derrière l’adresse courriel d’un autre pour frauder ou extorquer.                 
  • Trouver une adresse servant d’identifiant pour un site de rencontres extraconjugales comme Ashley Madison, contacter la victime de la fuite et exiger une rançon pour garder le silence.

REF.: