Franchement, se faire pirater son mail, c’est vraiment grave ?

Tanguy de Coatpont - Capture d’écran via Twitter

En 2014, les données personnelles de 500 millions d’utilisateurs de Yahoo ont été dérobées. Mercredi 14 décembre, on a appris qu’un vol encore plus « gros » a eu lieu en 2013. Yahoo a en effet annoncé que les données personnelles d’un milliard de comptes ont fuité de leurs serveurs.

Question naïve : est-ce vraiment inquiétant ? Pour y répondre, nous avons contacté Tanguy de Coatpont, directeur général France et Afrique du Nord pour Kaspersky Lab France.

Rue89 : Le site « Have I been pwned » possède une base de données des adresses mails volées. En rentrant mon adresse personnelle dans leur moteur de recherche, je me rends compte qu’elle a été récupérée par des « pirates » lors de deux hacks (Tumblr et LinkedIn). Honnêtement, ça n’a changé ni ma vie ni celle de mon adresse mail. Ces histoires de vol de données personnelles, est-ce vraiment grave ?

Tanguy de Coatpont : Evidemment, ça dépend de ce qu’on appelle « grave ». Prenons votre exemple : le journalisme. C’est potentiellement grave qu’une personne ait accès à votre boîte mail et puisse lire toutes vos correspondances, ne serait-ce que pour la protection de vos sources.

Dans le cas du piratage de Yahoo ! , le plus « grave » tient au fait que le vol remonte à 2014. Pendant deux ans, les gens qui ont volé ces données ont pu s’en servir librement, ou les revendre à des gens qui s’en sont eux-même servis. Ce piratage n’arrive à la surface que deux ans plus tard...

Qu’est-ce que des hackers peuvent bien faire de mon nom, ma date de naissance, mon téléphone etc. ?

Il y a deux schémas possibles.

• Dans le premier cas, les hackers revendent ces informations à des entités qui veulent effectuer un ciblage précis. Imaginons que je sois une agence gouvernementale. J’ai besoin de cibler une personne précise, je vais demander à un groupe de hackers s’ils détiennent des données personnelles sur cette cible. Cela permet de compléter mon profilage. Disposer de son numéro de téléphone peut me servir à l’écouter, à cloner la carte SIM et, finalement, à l’espionner.
   
• Dans le deuxième cas, les hackers revendent ces données. On est dans le profil du « cybermafieux » et du « cybercriminel ». Des organismes peuvent utiliser la base de données, achetée illégalement, pour réaliser des campagnes de spams sur les boîtes mails. En disposant, aussi, de la date de naissance et des questions de sécurité [type « Quel est le nom de jeune fille de votre mère », ndlr], ils peuvent forger des e-mails très personnalisés, convaincants.

L’une des problèmes majeurs, c’est que beaucoup d’internautes utilisent le même mot de passe pour plusieurs services. Leurs mots de passe vont être testés sur plusieurs plateformes. Les personnes à l’origine du vol peuvent récupérer des données bancaires ou essayer de voler de l’argent sur les comptes des victimes.

Peut-on imaginer que des sociétés légales achètent des bases de données illégales pour leur campagne de promotion par e-mail ?

Je n’ai pas connaissance d’une société ayant pignon sur rue, prise la main dans le sac en train d’exploiter des bases de données volées. Je ne pense pas.

Selon le site Motherboard, le hacker présumé du piratage de Yahoo ! aurait vendu 1 600 dollars (3 bitcoins) les millions de comptes volés. C’est que dalle, non ?

Le site Wired serait parvenu à interviewer le hacker dont vous parlez. Le prix peu cher, il l’explique. Il dit avoir généré de l’argent en faisant bien d’autres choses. La dernière étape était de vendre la base de données complète, pour arrondir les fins de mois.

Yahoo ! parle d’un piratage provenant d’un Etat. Qu’en pensez-vous ?

C’est effectivement assez bizarre que leur communiqué de presse souligne ça. Si on est une agence gouvernementale faisant de l’espionnage, le but est de rester le plus longtemps dans le compte compromis, pas d’exposer le coup à la presse.

Tom Cruise dans « Mission impossible », par Brian De Palma - United International Pictures

Selon LE grand expert de la cybersécurité Bruce Schneier, quelqu’un ou quelque chose est en train « d’apprendre à détruire Internet » : des piratages d’envergure destinées aux entreprises les plus critiques de l’Internet mondial. Ces piratages ressembleraient à des actes d’espionnage ou de renseignement. Encore une fois, en quoi ça me concerne, moi, internaute lambda ?

Nous avons pas mal de chercheurs, à Kasperky Lab, qui travaillent sur les APT, en français les « menaces persistantes avancées ». Celles-ci sont souvent perpétrées par des groupes qui sont employés par des gouvernements.

Ce type d’attaques représente environ 1 % du global des attaques effectuées. C’est relativement faible. Ce qui les différencie des autres, c’est qu’il s’agit d’attaques de grande ampleur, nécessitant une ingénierie complexe et des moyens financiers importants.

Dans le présent ou le futur proche, avons-nous plus à craindre que le piratage des données personnelles ?

Plusieurs menaces me viennent en tête, portant sur :

• Les voitures autonomes. Récemment, une voiture Tesla et une Jeep ont été piratées.
• Les infrastructures critiques. Si une centrale nucléaire est piratée, les conséquences peuvent être dramatiques pour la population.
• Les téléphones portables. Une menace est en plein essor. elle s’appelle le « ransonware » [ou logiciel de rançon, ndlr]. Si vous vous faites pirater votre téléphone, le hacker peut chiffrer vos photos et vos fichiers et vous demander une rançon pour en récupérer l’accès. Si vous ne payez pas, dites adieu à vos fichiers.

Quelles sont les bonnes pratiques pour éviter de s’embourber là-dedans ?

Changez votre mot de passe régulièrement. Activez la double authentification (souvent on vous propose un code par SMS). N’utilisez jamais le même mot de passe pour deux sites différents. Et enfin, quand vous recevez un e-mail d’une personne inconnue, ou que vous avez un doute quant à son contenu, mettez-le à la corbeille directement.