Que deviennent les nombreuses bases de données qui, chaque semaine environ, sont piratées par des hackers en quête d'argent ou de notoriété ? Parfois, elles se retrouvent en accès libre sur internet. Eric vient de s'en rendre compte. Quelle est cette étrange liste qui semble afficher, entre autre, des coordonnées de compte Zalando, le magasin de vêtements en ligne ? Que faire si vous remarquez que des données sensibles circulent dans la nature ?
Au fur et à mesure que des sociétés se font pirater, des données à caractère personnel se répandent dans la nature, ou plutôt sur le web. Notre récente enquête sur le site LeakedSource (qui a été fermé entretemps…) prouve que des milliers de base de données piratées (login, adresses email, mot de passe, nom, etc) sont accessibles de manière plus ou moins aisée.
Et certaines le sont vraiment très facilement. "Je viens de trouver une liste de 17.500 comptes avec les logins et les mots de passe", nous a signalé Eric, après avoir contacté la rédaction de RTL info via le bouton orange Alertez-nous.
Beaucoup de spams, soudainement
Il y a quelque temps, Eric a subitement été envahi d'emails à caractère frauduleux. "Tout d'un coup, j'ai reçu des dizaines d'emails d'arnaque de toute sorte, des emails venant de sites pirates, des pseudos Paypal, Outlook ou Orange.fr, etc…".
Eric les reconnait car "il y avait de petites erreurs de français dans les adresses", "ils renvoyaient vers un lien complètement farfelu" ou encore "parce qu'ils me demandaient des informations trop sécurisées pour que ce soit crédible venant d'un fournisseur officiel".
Notre témoin originaire de la région liégeoise a donc évité les pièges grossièrement tendus. "Ne voulant pas prendre de risque, j'ai effacé ces emails au fur et à mesure".
Il veut comprendre et tombe sur une liste très précieuse… qui contient ses propres accès !
Se demandant d’où provenait cet afflux soudain de courrier indésirable, Eric mène sa petite enquête sur internet. "J'ai débord tapé mon adresse email dans Google, et je suis tombé sur trop de résultats", liés à son nom et son prénom.
Ensuite, Eric a "mis des guillemets avant et après" son adresse email, de telle sorte que le moteur de recherche n'affiche que les pages où se trouve textuellement son adresse en entier. Et là, il n'y a qu'un seul résultat, et il étonnant.
"Google me prévient que la page n'existe plus, mais qu'elle est en cache. Je parviens à la faire apparaître finalement et je tombe sur une liste avec environ 17.500 adresses email et mots de passe. Et la mienne figure en effet dedans", avec le bon mot de passe lié au compte de cette adresse email…
N'importe qui pouvait donc se connecter au compte Hotmail d'Eric.
La liste trouvée par Eric, avec un exemple d'adresse email, et de mot de passe
De quel genre de liste s'agit-il ?
Nous avons consulté les trois listes qui sont publiées sur le site en question, portant l'extension .net. La liste sur laquelle se retrouvent les accès d'Eric s'appelle \logfr.txt. Il est difficile, voire impossible, de savoir d'où viennent ces données.
Eric y a trouvé les accès (adresse email et mot de passe) à son compte Hotmail, et il nous a précisé que s'il utilisait cette adresse pour s'inscrire sur d'autres services en ligne, il utilisait "chaque fois un mot de passe différent".
Cependant, on trouve sur cette liste beaucoup d'adresses email françaises comme @orange.fr, @free.fr, @sfr.fr (des webmail en France liés à des opérateurs), mais également des extensions d'entreprise.
Il n'agit donc pas d'une liste issue du piratage de comptes Hotmail ou Microsoft.
"C'est un grand classique", nous a précisé Olivier Bogaert, commissaire à la CCU, la Computer Crime Unit. Pour lui, c'est très difficile de savoir de quel genre de liste il s'agit. Cela pourrait être les membres d'un service en ligne, quel qu'il soit (commerce en ligne, réseau social, etc).
En effet, il faut de plus en plus souvent se créer un compte pour accéder à un site ou une application, et ces données ne sont parfois pas assez bien sécurisées par l'hébergeur.
"Il n'y a pas longtemps, c'est même LinkedIn (le réseau social professionnel) et Yahoo (l'ancien géant de la recherche et de l'email) qui se sont fait pirater", précise notre expert.
Zalando a-t-il été piraté ?
Autre découverte inquiétante lors de notre enquête: le site en question contient également la page \zalandolog.txt, avec à nouveau, des logins/adresses email, des mots de passe et des données plus précises comme le montant et la date de la "dernière commande passée".
Le site publierait-il également une liste de milliers de comptes Zalando piratés ? "Nous avons examiné ces sites la semaine passée, en France", nous a expliqué Monica Franz, porte-parole de la plus grande plateforme européenne de mode en ligne.
"Nous tenons à signaler que Zalando n'a pas été piraté. Selon notre enquête sur les données disponibles, il nous semble que les pirates volaient des mots de passe directement pour les comptes de messagerie, sans doute en utilisant des méthodes de phishing (celles décrites par Eric au début de cet article, NDLR)".
"Une fois que ces données sont obtenues, les pirates testent la combinaison email/mot de passe pour accéder à d'autres services en ligne comme, par exemple, Zalando".
La liste reprise sous \zalandolog.txt pourrait donc être le résultat d'un test des combinaisons email/mot de passe sur le site de Zalando. Ou simplement une volonté de nuire à la réputation de l'entreprise.
Bien entendu, le géant de la vente de vêtement en ligne assure qu'il prend toutes les précautions nécessaires, et que "la sécurité des données des clients est essentielle pour nous".
Pour l'heure, "grâce à des investissements considérables au niveau de notre structure informatique", "rien n'indique jusqu'à présent que les données de nos clients ont été piratées".
Pourquoi ces données se retrouvent-elles dans la nature ?
Quand des pirates informatiques parviennent à infiltrer des serveurs très sécurisés (on pense à ceux de LinkedIn ou de Yahoo), on imagine souvent qu'ils vont vendre les données personnelles récoltées via des filières en ligne spécialisées et dissimulées.
"Ce n'est pas toujours le cas. Avec LinkedIn, notamment, les pirates ont mis les données des comptes en ligne. Il y a deux choses: la vente des données… et l'exploit", explique Olivier Bogaert. Les pirates aiment prouver qu'ils sont plus forts que les spécialistes de la sécurité, et que rien ne leur résiste.
"Parfois, ils veulent aussi attirer l'attention sur le fait que telle ou telle entreprise n'est pas assez sérieuse avec la sécurité".
Raison pour laquelle certains pirates rendent publiques les fruits de leurs exploits.
Les conseils d'une juriste spécialisée: comment le hacking est-il puni en Belgique ?
Eric, notre témoin, a changé le mot de passe de son compte Hotmail après l'avoir aperçu dans cette mystérieuse liste. "Je suis furieux", précise-t-il tout-de-même, surtout contre Google "qui garde vraiment tout, ça me fait peur"… Il ne croit pas qu'il soit possible de changer les choses à ce niveau, même s'il voudrait un web plus sûr. "On est qui pour rouspéter ?", conclut-il.
Mais peut-on entreprendre des actions en justice contre ceux qui hébergent des données visiblement volées ?
Un peu de contexte juridique, d'abord. "Le hacking vise l’intrusion non autorisée d’une personne dans un système informatique. Le hacking peut être commis par un outsider (on parle alors de 'hacking externe') ou par un insider qui a outrepassé son droit d’accès au système (on parle alors de 'hacking interne')", nous a expliqué Céline Wulleman, du groupement lesjuristes.be.
Une activité qui est bien sûr sanctionnée dans le droit belge. "Le hacking est puni pénalement. En Belgique, on applique l'article 550bis du Code pénal. Pour qu’il y ait hacking externe, il suffit que l’auteur ait connaissance du caractère illégal de son intrusion dans le système, contrairement au hacking interne où une intention de nuire doit être démontrée. Le hacker encourt une peine d’emprisonnement de 3 mois à 1 an pour un hacking externe, et de 6 mois et 2 ans pour un hacking interne. Il risque également une amende pouvant aller de 25 000 à 26 000 euros. Ces peines peuvent être augmentées si le hacking s'accompagne de circonstances aggravantes. Par exemple, si le hacking a entrainé des dommages au système ou en cas de vol de données".
Voilà pour ceux qui ont piraté les données. Pour ceux qui, comme c'est sans doute le cas du responsable du site repéré par Eric, publient des informations volées, c'est autre chose. "Quiconque utilise ou divulgue des données obtenues à la suite d’un hacking peut être condamné pour recel. Cette personne encourt une peine de 6 mois à 3 ans de prison et/ou une amende de 26 000 à 100 000 euros".
Sachons également que "les peines pour hacking et pour recel peuvent se cumuler", et qu'il "s’agit également d'une atteinte à la vie privée des personnes concernées, et la divulgation des adresses mails constitue un traitement illicite de données à caractère personnel", précise Céline Wulleman.
Que faire en cas de problèmes ?
C'est là que les choses se compliquent, évidemment. Les pirates informatiques étant plutôt calés dans le domaine de la cybersécurité, il est généralement très difficile de les identifier. De plus, une liste de données sensibles sur un site n'est pas forcément diffusée par ceux qui ont piraté la base de données d'une quelconque entreprise.
Donc si enquête il y a, elle sera très complexe. La justice prend la peine de le faire quand le piratage est de très grande ampleur. Mais pour des petites bases de données dont on ignore l'origine, c'est peine perdue.
Il existe cependant une procédure. "La première chose à faire est de porter plainte auprès de la police", a précisé notre juriste spécialisée.
"En Belgique, c’est la FCCU (Federal Computer Crime Unit) et les différentes RCCU (Computer Crime Unit régionales) qui traitent les cas de cybercriminalité. La plainte sera transmise au procureur du Roi qui peut demander qu’une instruction soit ouverte (c'est très peu probable, NDLR). L’auteur pourra être poursuivi au pénal. En tant que victime, vous pouvez également agir au civil et réclamer des dommages et intérêts.
La prévention, surtout
Olivier Bogaert, notre commissaire spécialisé dans les fraudes sur internet, mise lui sur la prévention. "C'est une bonne méthode de mettre son adresse email entre guillemets, ça permet de faire des recherches sur les données complètes". En cas de doute, ce qu'a fait Eric était donc "un bon réflexe", et il faut "vérifier régulièrement" si vos données personnelles, telles que votre adresse email, ne se retrouvent pas listées sur un étrange site, avec éventuellement le mot de passe associé.
Bien entendu, on rappelle les règles de base en la matière:
- Utiliser des mots de passe différents pour chaque compte ou inscription. Si un de vos comptes est piraté, cela ne permettra donc pas d'accéder aux autres comptes.
- Avoir une adresse email 'poubelle' qu'on ose plus facilement donner pour s'inscrire sur des sites moins importants ou participer à des concours (souvent, il y a de la pub envoyée par après).
- Votre compte de messagerie (Gmail, Hotmail, Outlook, etc…) est votre coffre-fort, c'est lui qui vous permet de récupérer un mot de passe oublié, qui centralise vos comptes et vos réseaux sociaux. Vous n'avez pas envie de le voir fermer ou bloquer pour cause d'activité suspecte, ce que Microsoft fait assez facilement. Prenez-en soin en utilisant un mot de passe unique et sécurisé, que vous changerez au moins tous les ans.
- Enfin, ça va de soi, ne communiquez aucune information personnelle, même votre adresse email, à des sites web qui vous semblent suspicieux, à des pop-ups promotionnels indésirables, à des concours un peu trop beaux pour être vrais, ou via des courriers non sollicités.
Vos commentaires