Nos vies numériques à risque dans le Web obscur

Les périls du Web obscur, de l’avis de l’expert australien Troy Hunt, sont plus menaçants qu’il y a cinq ans.
Photo: Philippe Huguen Agence France-Presse Les périls du Web obscur, de l’avis de l’expert australien Troy Hunt, sont plus menaçants qu’il y a cinq ans.

Une foule de renseignements personnels appartenant à 2,8 millions de membres, qui ont été communiqués à des personnes extérieures à l’organisation. La faille de sécurité subie par le Mouvement Desjardins le mois dernier est une autre preuve de la vulnérabilité des citoyens par rapport à d’éventuels vols d’identité. Or, si dans les dernières années, les importantes fuites de données qui ont touché les géants Yahoo, Home Depot et eBay (entre autres) ont servi d’avertissement, ce récent événement est un autre relent des pirates malveillants qui sévissent dans le Web obscur.

Question de mettre à l’épreuve leur coefficient d’hygiène numérique, trois journalistes du Devoir ont soumis leur adresse courriel au moteur de recherche du site Have I Been Pwned, avec l’accompagnement éclairé de Jean-Philippe Décarie-Mathieu, chef de la cybersécurité aux Commissionnaires du Québec, une entreprise montréalaise spécialisée dans la sécurité en ligne.

Nous protégeons ici leur anonymat pour ne pas les exposer davantage à des actes de piratage. Dans certains cas, les constats ont révélé une très grande vulnérabilité à de possibles vols d’identité.

Nous avons vu des mots de passe, adresses courriel, noms d’utilisateur et autres données exposés avec celles d’autres usagers de LinkedIn, MySpace, Dropbox et autres sites victimes de fuites de données plus ou moins récentes. Et les « scénarios du pire » qu’a avancés Jean-Philippe Décarie-Mathieu en guise d’interprétation du résultat de nos recherches offrent une sérieuse douche froide pour quiconque conservait une certaine candeur envers le vaste monde d’Internet.

La première adresse courriel que nous soumettons à Have I Been Pwned fait ressurgir une liste inquiétante de fuites de données où plusieurs données personnelles de la journaliste cobaye sont la proie des pirates.

« Par exemple, elle a fait partie de la faille de sécurité de LinkedIn en 2012, dont les données ont été mises en vente en 2016 », explique le consultant en sécurité informatique, qui ajoute ici un éclairage sur le cas Desjardins.

« Plusieurs personnes ont demandé s’il était possible de télécharger le package de la fuite de données de Desjardins. À l’heure actuelle, c’est impossible. Mais qui sait si, dans quatre ou cinq ans, ces infos ne vont pas valoir très cher ? »

Paranoïa ou sage prudence ?

En analysant le profil de ma collègue sur Have I Been Pwned, Jean-Philippe Décarie-Mathieu explique ainsi pourquoi celle-ci devrait être préoccupée par le fait que la faille LinkedIn est aussi intrusive.

« Déjà, le fait qu’elle utilise LinkedIn permet de déduire qu’elle est une professionnelle. Ensuite, il devient facile de savoir où elle travaille, qui est son patron, où elle habite. On peut aller créer des arborescences qui permettraient de se faire passer pour elle. Statistiquement, il est probable que le mot de passe qu’elle utilise pour LinkedIn soit le même [ou une variante] que celui de son adresse courriel. Ensuite, on pourrait aller éplucher Facebook pour en savoir davantage sur elle. Et même si elle fait attention à ne pas laisser de traces, il y a toujours une mère ou une tante fière d’elle qui l’auront identifiée à un moment donné. Bref, avec tout ça, quelqu’un peut facilement prendre le contrôle complet de sa vie numérique », avance Jean-Philippe Décarie-Mathieu.

Notre collègue se dit surprise par ce constat, même si elle se doute que les données d’une majorité de citoyens sont exposées jusqu’à un certain point.

« Je n’ai jamais reçu de courriel d’avertissement de LinkedIn, m’invitant à changer mes mots de passe. En revanche, je n’ai jamais subi de vol d’identité. Cela dit, sachant cela, je vais modifier mes mots de passe. »

La seconde adresse courriel que nous mettons à l’épreuve dévoile aussi des faits inquiétants : les données personnelles du collègue sont éparpillées dans les jeux de données issues de 12 fuites de données, dont celles de Yahoo, de LinkedIn, de Dropbox, de FitnessPal et de MySpace. Au moins, il peut se rassurer : mon collègue n’est pas seul dans l’adversité.

« La fuite de Yahoo concernait 1,9 milliard de comptes, bref, à peu près tout le monde qui utilise le Web. Dans le cas de la fuite de Dropbox, il est possible que cette compagnie ait demandé à ses usagers de changer leurs mots de passe. Autrement, le fait de savoir qu’il utilise des sites comme FitnessPal nous donne des informations sur ses passe-temps. Et le fait qu’il ait eu un profil MySpace nous permet de déduire qu’il est âgé de plus de 30 ans. En accédant à tous ces dumps [jeux de données], je peux accéder à son adresse IP, à ses mots de passe, à sa date de naissance, à ce qu’il aime faire, et dresser un profil de cette personne. »

« Ça donne un choc de savoir qu’il y a eu autant de fuites sur mes comptes. Par contre, comme je suis un gros utilisateur de services, je me doutais que cela augmentait mes probabilités d’être exposé », partage ce collègue, qui va modifier ses combinaisons et se procurer un gestionnaire de mots de passe.

« Le fait que l’on se sache à ce point exposé me fait croire qu’il y a des efforts à faire, du côté des grandes entreprises, pour renforcer leur sécurité. »

La troisième adresse que nous testons n’a pas été conquise, selon le site Have I Been Pwned. Ce qui ne veut pas dire que la journaliste est libre de dormir sur ses deux oreilles.

« Juste avec la composition de cette adresse courriel, je pourrais trouver plus d’informations sur cette personne. Dans bien des cas, c’est juste une question de temps : si quelqu’un est décidé à s’en prendre à une personne, il peut finir par trouver beaucoup de choses. »

J’ai été Pwned. Quoi faire?

« C’est comme d’essayer de retirer de l’urine d’une piscine remplie d’eau. » C’est cette métaphore que Troy Hunt utilise pour illustrer la quasi-impossibilité de retirer ou de « nettoyer » nos données personnelles du vaste Web.

Mais comment s’y prendre pour mettre nos données à l’abri et éviter d’éventuelles usurpations d’identité ? En tapant une adresse courriel dans le moteur de recherche de Have I Been Pwned, l’internaute ordinaire peut ainsi évaluer son coefficient « d’hygiène numérique », en découvrant si ses mots de passe, sa date de naissance, ses noms d’utilisateur et ses autres données personnelles ont été exposés lors d’une fuite de données. En guise de bonnes pratiques futures, Jean-Philippe Décarie-Mathieu suggère aux journalistes cobayes de développer de nouvelles pratiques de sécurité, comme utiliser un gestionnaire de mots de passe, et ne jamais réutiliser les mêmes combinaisons. Il invite aussi le grand public à envisager de recourir à des systèmes d’authentification de mots de passe à usage unique.

Et effacer sa présence sur les réseaux sociaux ? Trop radical et potentiellement inutile, puisque nos traces demeurent présentes quelque part.

5 commentaires
  • Robert Daignault - Abonné 6 juillet 2019 01 h 07

    fuites de données

    oops,

    Equifax a été victime d'un vol de de données touchand la moitié de la population américaine en 2017! Voici que Desjardins lui demande de l'aide!
    Nous sommes entre bonnes mains!@

    • Gilles Thériault - Abonné 6 juillet 2019 10 h 24

      D'où vient cette information?

  • Michel Sarao - Abonné 6 juillet 2019 08 h 07

    5 ans

    L'Offre du Mouvement Desjardins de cinq ans d'abonnemnt gratuit chez Equifax n'est pas suffisant.

  • Sylvain Rivest - Abonné 6 juillet 2019 09 h 41

    Une arnaque monumentale

    Je travaille dans ce domaine depuis plus de 20 ans et à mon avis l’informatique, tel qu’il est, est l’arnaque du 21e siècle et non une avancée. Premièrement, c’est un gouffre sans fond dans les budgets de l’état comme chez les entreprises. Deuxièmement, c’est très polluant, voir les déchets générés sans compter la consommation d’énergie et en passant ça ne sauve pas les arbres de la forest. Troisièmement, ça rend con, puisque notre mémoire est de moins en moins sollicité et nous encourage à végéter devant un écran. Déjà, probablement a cause de l’avènement de la télévision et de son effet végétatif, notre QI a commencé à descendre pour ceux qui sont née après 1973, sans compter que depuis près d’un siècle, la masse de notre cerveau diminue. Quatrièmement, la sécurité en informatique ça n’existe pas, en un claquement de doigts on peut détruire/voler les données de milliards de gens, sans que personne le sache. Sans oublier l’isolement que cela crée sur les individus seuls devant leur écran, donc très néfaste pour la santé mentale. vous imaginez cette jeune génération qui est née avec ce cancer technologique?

    Pour voler autant des données, les dossiers de 2.9 millions de clients, il y a à peine trente ans, le gars aurait eu besoin d’un camion et d’amis pour charger des milliers de classeurs. Ça aurait pris une journée, au moins, et tout ça sous les yeux du gardien de sécurité de Desjardins. Bref, l’avancement technologique a servi les criminels et personne d’autres. Nous sommes à l’aube d’une guerre qui fera basculer l’economie mondiale. Lorsqu’on s’infiltrera dans nos systèmes pour y détruire toute l’information ainsi que les copies de sécurité le chaos s’installera. Big brother aura changé de visage.

  • Franco Ongaro - Abonné 6 juillet 2019 17 h 25

    M. Rivest

    M. Rivest
    J'adore votre commentaire mais je peut pas le " liker ", faudrais que je réactive mon compte FB pis â me tente pas. Bravo quand même!