Une foule de renseignements personnels appartenant à 2,8 millions de membres, qui ont été communiqués à des personnes extérieures à l’organisation. La faille de sécurité subie par le Mouvement Desjardins le mois dernier est une autre preuve de la vulnérabilité des citoyens par rapport à d’éventuels vols d’identité. Or, si dans les dernières années, les importantes fuites de données qui ont touché les géants Yahoo, Home Depot et eBay (entre autres) ont servi d’avertissement, ce récent événement est un autre relent des pirates malveillants qui sévissent dans le Web obscur.

Question de mettre à l’épreuve leur coefficient d’hygiène numérique, trois journalistes du Devoir ont soumis leur adresse courriel au moteur de recherche du site Have I Been Pwned, avec l’accompagnement éclairé de Jean-Philippe Décarie-Mathieu, chef de la cybersécurité aux Commissionnaires du Québec, une entreprise montréalaise spécialisée dans la sécurité en ligne.

Nous protégeons ici leur anonymat pour ne pas les exposer davantage à des actes de piratage. Dans certains cas, les constats ont révélé une très grande vulnérabilité à de possibles vols d’identité.

Nous avons vu des mots de passe, adresses courriel, noms d’utilisateur et autres données exposés avec celles d’autres usagers de LinkedIn, MySpace, Dropbox et autres sites victimes de fuites de données plus ou moins récentes. Et les « scénarios du pire » qu’a avancés Jean-Philippe Décarie-Mathieu en guise d’interprétation du résultat de nos recherches offrent une sérieuse douche froide pour quiconque conservait une certaine candeur envers le vaste monde d’Internet.

La première adresse courriel que nous soumettons à Have I Been Pwned fait ressurgir une liste inquiétante de fuites de données où plusieurs données personnelles de la journaliste cobaye sont la proie des pirates.

« Par exemple, elle a fait partie de la faille de sécurité de LinkedIn en 2012, dont les données ont été mises en vente en 2016 », explique le consultant en sécurité informatique, qui ajoute ici un éclairage sur le cas Desjardins.

« Plusieurs personnes ont demandé s’il était possible de télécharger le package de la fuite de données de Desjardins. À l’heure actuelle, c’est impossible. Mais qui sait si, dans quatre ou cinq ans, ces infos ne vont pas valoir très cher ? »

Paranoïa ou sage prudence ?

En analysant le profil de ma collègue sur Have I Been Pwned, Jean-Philippe Décarie-Mathieu explique ainsi pourquoi celle-ci devrait être préoccupée par le fait que la faille LinkedIn est aussi intrusive.

« Déjà, le fait qu’elle utilise LinkedIn permet de déduire qu’elle est une professionnelle. Ensuite, il devient facile de savoir où elle travaille, qui est son patron, où elle habite. On peut aller créer des arborescences qui permettraient de se faire passer pour elle. Statistiquement, il est probable que le mot de passe qu’elle utilise pour LinkedIn soit le même [ou une variante] que celui de son adresse courriel. Ensuite, on pourrait aller éplucher Facebook pour en savoir davantage sur elle. Et même si elle fait attention à ne pas laisser de traces, il y a toujours une mère ou une tante fière d’elle qui l’auront identifiée à un moment donné. Bref, avec tout ça, quelqu’un peut facilement prendre le contrôle complet de sa vie numérique », avance Jean-Philippe Décarie-Mathieu.

Notre collègue se dit surprise par ce constat, même si elle se doute que les données d’une majorité de citoyens sont exposées jusqu’à un certain point.

« Je n’ai jamais reçu de courriel d’avertissement de LinkedIn, m’invitant à changer mes mots de passe. En revanche, je n’ai jamais subi de vol d’identité. Cela dit, sachant cela, je vais modifier mes mots de passe. »

La seconde adresse courriel que nous mettons à l’épreuve dévoile aussi des faits inquiétants : les données personnelles du collègue sont éparpillées dans les jeux de données issues de 12 fuites de données, dont celles de Yahoo, de LinkedIn, de Dropbox, de FitnessPal et de MySpace. Au moins, il peut se rassurer : mon collègue n’est pas seul dans l’adversité.

« La fuite de Yahoo concernait 1,9 milliard de comptes, bref, à peu près tout le monde qui utilise le Web. Dans le cas de la fuite de Dropbox, il est possible que cette compagnie ait demandé à ses usagers de changer leurs mots de passe. Autrement, le fait de savoir qu’il utilise des sites comme FitnessPal nous donne des informations sur ses passe-temps. Et le fait qu’il ait eu un profil MySpace nous permet de déduire qu’il est âgé de plus de 30 ans. En accédant à tous ces dumps [jeux de données], je peux accéder à son adresse IP, à ses mots de passe, à sa date de naissance, à ce qu’il aime faire, et dresser un profil de cette personne. »

« Ça donne un choc de savoir qu’il y a eu autant de fuites sur mes comptes. Par contre, comme je suis un gros utilisateur de services, je me doutais que cela augmentait mes probabilités d’être exposé », partage ce collègue, qui va modifier ses combinaisons et se procurer un gestionnaire de mots de passe.

« Le fait que l’on se sache à ce point exposé me fait croire qu’il y a des efforts à faire, du côté des grandes entreprises, pour renforcer leur sécurité. »

La troisième adresse que nous testons n’a pas été conquise, selon le site Have I Been Pwned. Ce qui ne veut pas dire que la journaliste est libre de dormir sur ses deux oreilles.

« Juste avec la composition de cette adresse courriel, je pourrais trouver plus d’informations sur cette personne. Dans bien des cas, c’est juste une question de temps : si quelqu’un est décidé à s’en prendre à une personne, il peut finir par trouver beaucoup de choses. »