Aujourd’hui, la cybercriminalité prend de nombreuses formes. Avec le développement des achats en ligne et de la dématérialisation, nous courrons plus de risques. Or, le piratage des données sensibles entraîne de nombreux désagréments : vol d’identité, d’identifiants ou d’argent. Quelles sont les différents types de données ? Que risque-t-on lors d’une cyberattaque ? Comment se protéger ? Dans cet article, nous répondons à ces questions.
Les différents types de données sensibles
Il existe différents types de données sensibles qui sont susceptibles d’être piratées.
1. Données personnelles
Une donnée personnelle se définit comme tout élément qui permet d’identifier une personne physique. Cette identification peut être réalisée en regroupant différentes données, par exemple, une date de naissance et une adresse. Elle peut simplement être faite à partir d’une seule information, notamment le nom de la personne. Il est donc possible pour un pirate informatique de procéder directement à l’aide de votre nom. Il peut aussi trouver des données indirectement :
- Plaque d’immatriculation ;
- Numéro de téléphone ;
- Adresse e-mail ou physique ;
- Numéro de sécurité sociale ;
- Photographie ;
- Etc.
Ces données sensibles sont parfois révélées par leur propriétaire lors de leur activité sur le web. Il est important pour se protéger de la fraude en ligne de ne pas divulguer d’informations sur votre vie privée.
2. Données financières
Ces données sont toutes les informations qui peuvent être collectées lors d’un paiement. Elles sont de plusieurs natures :
- Données de paiement : les données transmises dépendent du moyen de paiement choisi. Elles concernent le montant, la date et l’heure, l’IBAN, mais aussi le commerce ou l’identité de l’acheteur ou du bénéficiaire.
- Données d’achat : produit acheté, date et lieu d’achat, informations sur la carte de fidélité.
- Données comportementales : localisation du client et les données relatives à la recherche du produit avant l’achat, caractéristiques du navigateur utilisé, etc.
Le piratage de ces données sensibles a souvent pour résultat le vol ou le détournement d’argent.
3. Données médicales
Ce sont les données liées à la santé d’une personne. Il s’agit des informations collectées lors d’un examen, de l’inscription pour des soins, mais aussi concernant une maladie ou un handicap. Si ces données peuvent être collectées pendant le parcours de soin, les données médicales concernent aussi les informations stockées sur des applications de santé.
4. Propriété intellectuelle
La propriété intellectuelle désigne des créations de nature industrielle, littéraire ou artistique. Les informations à protéger peuvent être sur une base de données. Il peut s’agir de modèles, de dessins, de signes distinctifs de marques (logo ou zone géographiques) ou d’œuvres originales.
Les conséquences du piratage de données sensibles
Quelle que soit leur nature, les données sensibles peuvent être dérobées. À quoi est-ce que cela vous expose ?
- Vol d’identité : L’usurpation d’identité est un délit. Elle se définit comme l’utilisation de vos données personnelles dans votre autorisation pour réaliser des infractions. Les possibilités sont nombreuses :
- Escroqueries des proches de la victime ;
- Souscription à des abonnements, comptes bancaires ou crédit ;
- Locations de véhicules ;
- Extorsion de fonds ;
- Chantage ;
- Etc.
Le risque principal est d’être poursuivi pour de multiples fraudes dont vous n’êtes pas l’auteur.
2. Fraude financière
Un piratage donne lieu à la récupération de vos données bancaires en ligne. Parfois, le coupable va vous contacter par téléphone ou par mail, en se faisant passer pour votre conseiller bancaire. Le but est de contourner les mesures de sécurité prises par les banques pour vous protéger. Le malfrat va alors vous inciter à accomplir une action sur votre compte en banque pour vous dérober de l’argent. Veillez également à ne pas cliquer sur des liens reçus par mail ou SMS quand on vous demande de réaliser une action sur votre compte bancaire On parle alors de phishing, nous revenons sur cette notion un peu plus bas.
L’utilisation de la carte bancaire sur le web doit être limitée pour sécuriser vos achats en ligne. L’idéal reste de payer en ligne sans carte bancaire ! Comment faire ? Il est possible de régler via PayPal, ou une carte de paiement rechargeable.
Ce type de carte n’est pas lié à un compte bancaire, son utilisation est donc plus sûre. Le pirate n’aura pas accès à l’ensemble de votre argent. En effet, vous choisissez vous-même la somme à créditer sur votre carte. Si l’on vous vole des informations sur votre carte, la fraude ne concerne que la somme restante sur cette dernière.
3. Préjudice à la réputation
Lorsque des fraudes sont commises à votre insu et en votre nom, cela porte préjudice à votre réputation. C’est d’autant plus gênant si cela touche votre activité professionnelle. Cela peut être dans la vie courante ou toucher votre e-réputation. C’est un délit pour lequel vous devez porter plainte.
4. Perte de confiance des clients
La conséquence d’une action malveillante ou du vol de données client à un professionnel est la perte de confiance de ses clients. Cela peut affecter de manière durable l’entreprise et son chiffre d’affaires. C’est pourquoi il est essentiel en tant que professionnel de mettre en place des mesures de protection. Par ailleurs, vous devez respecter le RGPD pour protéger vos clients de la violation de la confidentialité des données.
Les méthodes courantes de piratage
Il existe des méthodes de piratage de données sensibles. Voici celles qui sont les plus fréquemment utilisées.
1. Phishing
Le phishing est une méthode de piratage des données où l’escroc se fait passer pour un organisme connu. Cet organisme peut être, par exemple, votre centre des impôts, la CAF ou votre établissement bancaire. En cas de phishing, le voleur essaie de vous faire dévoiler certaines informations. Il cherche à obtenir votre numéro de compte, vos codes internet et coordonnées de carte bancaire.
Concrètement, il vous envoie le plus souvent un mail avec un lien cliquable. Ce lien frauduleux vous redirige souvent vers une page qui ressemble à un site institutionnel. C’est là que des données sensibles vous seront demandées.
Or, aucune de ces données ne vous sera jamais demandée par téléphone ou par mail ! En cas de doute, ne cliquez jamais sur ce type de lien.
2. Malware et ransomware
Un malware est un logiciel malveillant qui est installé sur votre ordinateur. C’est une manière simple et inaperçue de réaliser le piratage de données sensibles. Le fraudeur aura accès à votre ordinateur et pourra surveiller vos actions en ligne. Le ransomware est un type de logiciel qui est capable de bloquer totalement votre ordinateur. Une rançon, souvent demandée en cryptomonnaie, car non traçable, est réclamée pour vous rendre le contrôle de votre machine.
Le plus souvent, ces logiciels espions sont installés sur votre ordinateur à votre insu via un lien cliquable ou un contenu téléchargeable dans un e-mail. Encore une fois, il faut éviter de cliquer sur des mails provenant d’adresse inconnue. Souvent, ces e-mails ont des fautes d’orthographe ou des adresses d’expédition étranges.Attention également aux fichiers .zip, en pièce jointe ou sur le cloud. Ils sont donc identifiables avec un peu de vigilance.
3. Attaques par force brute
L’attaque par force brute est une méthode simple, mais malheureusement encore efficace. C’est une cyberattaque ciblée qui vise à trouver votre mot de passe, votre nom d’utilisateur ou une clé de chiffrement, qui crypte les données. De nombreux essais sont généralement réalisés.
Le cybercriminel part d’un mot de passe connu qui a filtré ou des mots couramment utilisés par l’utilisateur. Avec un logiciel ou la conjugaison de plusieurs appareils, toutes les combinaisons possibles sont testées. Pour se protéger, mettez en place des mots de passe complexes et longs, ou un bon gestionnaire de mot de passe. N’hésitez pas à modifier vos mots de passe régulièrement.
4. Ingénierie sociale
Cette pratique de cybercriminalité se base sur une forme de manipulation de la victime. Ici, l’escroc joue sur la vulnérabilité des personnes pour arriver à son but : le piratage des données sensibles. Ce dernier se fait passer pour une personne sympathique pour susciter la confiance de sa victime. Il peut se faire passer pour une personne qu’elle connaît ou une figure d’autorité sur les réseaux sociaux ou par e-mail. Cette forme d’attaque peut donc être semblable au spam ou au phishing.
Ce n’est pas tout : certains malfrats se servent d’applications de rencontre pour lier une relation avec leur victime. Puis, au bout de quelques semaines ou de quelques mois, l’ incite à leur prêter de l’argent ! Malheureusement, elle ne le reverra jamais !
Les mesures de prévention et de protection
Comment se protéger contre le piratage des données sensibles ?
1. Utilisation de logiciels de sécurité
Les logiciels de sécurité sont incontournables pour la protection de vos informations personnelles. Lesquels utiliser ?
- Un antivirus qui bloque les fichiers malveillants qui pourraient être placés sur votre ordinateur.
- Un anti-malware permet de supprimer tous types de logiciels malveillants déjà installés sur votre machine.
- Un logiciel de nettoyage se charge de passer en revue tous vos fichiers et de détecter ceux qui sont inutiles ou dangereux.
- Le VPN protège vos données personnelles quand vous êtes en ligne. Il vous rend invisible, masque votre IP et votre localisation réelle et vous protège de certaines menaces. Malheureusement, les hackers peuvent également utiliser ce système à leur avantage.
Attention, toutefois, choisissez des logiciels de sécurité informatique connus et évitez les sites non officiels ou non reconnus pour leur fiabilité, ainsi que des outils gratuits. En réalité, certains logiciels gratuits peuvent être malveillants et chercher à vous voler vos données !
2. Cryptage des données
Il s’agit d’une méthode de chiffrement qui code les données. Ainsi, même si une personne y accède, celles-ci sont illisibles dès lors que l’on ne dispose pas de la clé associée. Pour rendre le vol de vos données confidentielles impossibles, recourez à un logiciel de cryptage. Vous pouvez aussi utiliser des applications de messagerie (mails ou messages instantanés) qui utilisent une technique de chiffrement de vos conversations.
3. Sensibilisation des employés
En entreprise, il est encore plus important d’être vigilant pour la sécurité des données. Alors, la sensibilisation des employés peut être un vrai plus. Ceux-ci ne font pas toujours attention lorsqu’ils reçoivent des e-mails avec des liens. Peut-être utilisent-ils leur messagerie personnelle sur leur poste de travail ? Celle-ci est sans doute beaucoup moins sécurisée que la messagerie d’entreprise. Il est donc bon de leur rappeler les bonnes pratiques de sécurité informatique.
4. Mise en place de politiques de sécurité
Une politique de sécurité informatique est une stratégie qui encadre les bonnes pratiques en entreprise. Elle utilise un ensemble de ressources pour évaluer les risques, définir des procédures en cas d’incident et rédiger une charte pour les collaborateurs.
La réglementation sur la protection des données
Quelles sont les réglementations pour que les organismes ou entreprises évitent les intrusions dans les données sensibles qu’ils récupèrent ?
1. Le Règlement Général sur la Protection des Données (RGPD)
Le RGPD, ou règlement général sur la protection des données personnelles, est un texte de loi européen. Celui-ci est applicable depuis le 25 mai 2018. Toute structure publique ou privée qui collecte des données personnelles des particuliers ou ses sous-traitants ont des obligations à respecter :
- Tenir un registre de traitement des données ;
- Ne collecter que les données nécessaires ;
- Sécuriser les données ;
- Respecter le droit des personnes à la consultation, modification ou suppression des données.
2. Les lois nationales sur la protection des données
En France, la loi Informatique et Libertés datant de 1978, a été modifiée en 2014. Elle liste les obligations de tout secteur qui a recours au traitement de données sensibles :
- Déclarer à la CNIL tout fichier contenant des données personnelles ;
- Sécuriser les données ;
- Interdiction de détenir des données à caractère religieux, politique ou relatives à la santé sauf cas particulier ;
- Informer les personnes concernées de la collecte des données ;
- Pratiquer la collecte loyale des données, c’est-à-dire faire preuve de transparence sur cette dernière et l’utilisation qui en est faite ;
- Permettre la consultation, la modification et la suppression de ces données personnelles.
3. Les obligations des entreprises en matière de protection des données
Quelles sont les obligations des entreprises en matière de données personnelles ?
- Respecter la protection des données et de la vie privée ;
- Tenir un registre de traitement ;
- Avoir un délégué à la protection des données ;
- Prouver que la collecte et l’utilisation des données respectent les règles en la matière ;
- Notifier toute violation de la confidentialité des données personnelles aux autorités et aux particuliers concernés ;
- Informer les personnes de la durée de conservation des données et de leurs droits les concernant ;
- Permettre aux personnes concernées d’exercer leurs droits relatifs aux données personnelles.
Les étapes à suivre en cas de piratage de données
Vous êtes victime d’un piratage de données sensibles ? Comment faire ?
1. Identification de la faille de sécurité
Il faut trouver d’où vient le piratage, par exemple :
- Un mail avec un lien sur lequel vous avez cliqué ou une pièce jointe que vous avez ouverte ;
- Le piratage de vos mots de passe ;
- Une visite sur un site malveillant (sans protocole https) ;
- Un logiciel dont la mise à jour a expiré et dont la faille a été exploitée.
2. Notification des autorités compétentes
Déposez plainte à la brigade de gendarmerie ou au commissariat de police. Pour cela, réunissez les preuves en votre possession pour justifier du piratage.
Vous pouvez aussi vous adresser directement au procureur de la République du tribunal judiciaire par écrit. De plus, le site du gouvernement cyberbienveillance.gouv.fr vous donne des informations sur tout ce qu’il faut faire si vous êtes victime de cyberattaque.
3. Communication avec les parties concernées
Pour réunir les preuves nécessaires, vous pouvez vous adresser à un professionnel en sécurité informatique. Si vous ne le pouvez pas, mettez votre ordinateur à disposition des forces de l’ordre.
4. Investigation et rétablissement
Durant les investigations, vous ne devrez en aucun cas procéder à une réinitialisation de votre système informatique. Lorsque votre machine aura été examinée par les forces de l’ordre, vous pourrez alors procéder à une réinitialisation de votre système. Puis, changez l’ensemble de vos mots de passe et mettez à jour tous vos logiciels si nécessaire. Les mises à jour de sécurité système (Microsoft, Apple, Android…) sont particulièrement importantes, et à effectuer dès que possible. Certains médias en ligne ou fils d’actualité spécialisés relaient rapidement les alertes de failles de sécurité.
Le piratage de données sensibles est en hausse ces dernières années. Aussi, est-il important d’être prudent sur la toile et de rester vigilant si vous recevez des messages ou des coups de fil suspects.