MENU
K2

Fuite d’information : votre adresse email est-elle compromise ?

Clément Maës
Louise de Mauroy

Fuite d’information : votre adresse email est-elle compromise ? - publication Cercle K2

Le Cercle K2 n'entend donner ni approbation ni improbation aux opinions émises dans les publications (écrites et vidéos) qui restent propres à leur auteur.

Louise de Mauroy et Clément Maës sont co-fondateurs de Coralium.

---

Des fuites, toujours plus de fuites

Les fuites de données semblent s’enchaîner à un rythme toujours croissant. Il ne se passe pas un mois, voire une semaine, sans que l’on entende parler d’une entreprise solide et reconnue ayant divulgué malgré elle les précieuses données de ses clients.  

Ainsi, sur l’année 2020 : Microsoft, Décathlon, Twitter, Intel, le réseau social chinois Weibo, Zoom, le cabinet d’avocats américain Grubman Shire Meiselas & Sacks, Doctolib, Nintendo, Pfizer, Wordpress, Amazon, autant de noms célèbres, pourtant victimes de fuite de données allant jusqu’à 500 millions d’utilisateurs touchés. 

La dernière en date, celle du 3 avril 2021, concerne Facebook. 553 millions de numéros de téléphone (dont 20 millions de numéros liés à des profils français) ont été récemment partagés sur un forum internet, avec les noms, prénoms, adresses email des victimes. Des informations précieuses pour qui sait les utiliser.

 

Le cycle de vie d’une fuite de données

Car une fois la faille ou la mauvaise configuration exploitée, le pirate informatique se retrouve en possession de données commercialisables. En effet, il est rare que les hackers à l’origine des fuites de données utilisent ensuite celles-ci pour des piratages. À chacun sa spécialité ! 

Cette base de données est donc mise en vente sur des forums du Web classique ou sur le Dark Web (accessible depuis un navigateur un peu différent appelé Tor). Le premier pirate à disposer de la base a l’avantage de la fraîcheur des données : elles sont souvent valides et les utilisateurs n’ont pas encore été ciblés par des campagnes de phishing ou de ransomwares ; ils se méfient donc moins. 

Plus le temps passe, et plus la valeur de la base de données baisse : les utilisateurs changent de mots de passe, d’adresse mail ou physique, de métier... En outre, ils ont peut-être déjà été victimes d’un piratage lié à la même fuite de données et ont renforcé leur sécurité. 

Moins confidentielle, la base de données est alors susceptible d’être rendue publique. Il existe notamment une pratique parmi les hackers qui consiste à publier gratuitement un "dump" (une base de données) pour gagner leurs entrées dans les forums réputés. Il n’est donc pas rare que de vieilles fuites de données refassent surface après quelques années.  

C’est le cas pour la fuite de données de Facebook publiée le 3 avril, dont le piratage date en réalité de 2019. Mais attention : même si la fuite est ancienne, cela ne signifie pas que les données n’ont plus de valeur pour les pirates. Au contraire, plus de personnes ont désormais accès aux données et les tentatives de phishing ou de compromission risquent de se multiplier.

 

Quid des avocats ?

Nous avons voulu vérifier la prévalence des données de cabinets d’avocats dans les fuites de ces dernières années. Nous nous sommes concentrés sur l’adresse email : il s’agit en effet du marqueur principal de l’identité numérique.  

Nous avons utilisé l’outil gratuit Have I Been Pwned. Il s’agit d’un site internet recensant chaque base de données ayant fait l’objet d’une fuite. Il permet de renseigner sa propre adresse email ou son numéro de téléphone et de vérifier leur éventuelle présence dans une base de données compromise.

 

 

Nous avons testé l’outil sur un échantillon de 2000 cabinets d’avocats, pour les barreaux de Paris, Rouen, Nantes, Lille et Montpellier.

Sur cet échantillon, environ 1/3 (36,5 %) des adresses email (professionnelles et personnelles) avaient fait l’objet d’une fuite de données. Les chiffres varient peu selon les barreaux : 38 % des adresses email d’avocats du barreau de Paris testées étaient potentiellement compromises ; 35,6 % pour le barreau de Lille, 36,5 % pour Montpellier, 35 % pour Nantes et 36 % pour le barreau de Rouen.

 

C’est donc une proportion non négligeable d’avocats qui voient leurs adresses email exposées dans des fuites de données.

 

Que risquent les avocats concernés ?

Est-ce "grave" ? À ce stade, non ; mais cela pourrait le devenir si des mesures simples de sécurité ne sont pas prises. 

Plus haut, nous parlions d’adresses email potentiellement compromises. En effet, la présence d’une adresse email dans une base de données rendue publique ne signifie pas que l’adresse email en elle-même, ou le compte associé à l’email (toutes les applications et sites où vous vous êtes inscrit en utilisant votre adresse email) a été compromis. Pour cela, il faudrait aussi que le mot de passe soit publié aussi, ce qui est rare. 

En revanche, vous ne connaissez pas les informations divulguées : mots de passe ou identifiants bancaires, données médicales, numéro de sécurité sociale, de téléphone, nom et adresse.... Ces informations peuvent soit servir au piratage direct d’un de vos comptes (si un mot de passe a fuité ou à l’aide d’un numéro de téléphone rendu public) ; soit, ce qui est le plus fréquent, dans une tentative de phishing.

 

Comment vous protéger ?

Tout d’abord, allez vérifier sur le site Have I Been Pwned si votre adresse y est présente. 

Si oui, changez le mot de passe associé à votre adresse email (ce qui est en toute occasion une bonne pratique). Pour renforcer la sécurité de votre boîte mail, vous pouvez aussi activer l’authentification forte.

Si la source du piratage est identifiée (Facebook, Yahoo, Microsoft, etc.), changez le mot de passe du compte que vous possédez chez l’entreprise compromise. 

Ces 3 mesures vous permettront de diminuer les risques de piratages directs de vos comptes. 

Enfin, prêtez attention aux mails que vous recevez : des hackers possédant des informations précises sur vous pourront personnaliser les emails qu’ils vous envoient et vous inciter à transmettre des données confidentielles ou à télécharger des virus. Pour savoir repérer un mail de phishing, allez voir le site de la CNIL.

En suivant ces bonnes pratiques, vous devriez réduire les conséquences de ces fuites de données !

Louise de Mauroy et Clément Maës

Publié le 23 avril 2021

Liste des fichiers associés :