Fuites de données : une aubaine pour le phishing ciblé

Lorsque les médias évoquent une importante fuite de données, la plupart d’entre nous pensent à leurs données les plus sensibles. Pourtant, les noms d’utilisateur et les mots de passe ne devraient pas être vos seules sources d’inquiétude. Beaucoup d’internautes ignorent que les informations personnelles a priori inoffensives peuvent également être utilisées pour lancer des tentatives de phishing et d’autres attaques ciblées par email.

Des centres d’intérêt que vous sélectionnez lors de la création d’un compte en ligne aux questions de sécurité protégeant ces comptes, les hackers peuvent utiliser retourner contre vous n’importe quel type de données.

Les violations fortement médiatisées inspirent les hackers

Le Mouvement Desjardins, le plus grand groupe coopératif du Canada et la plus grande association de caisses populaires d’Amérique du Nord, a été victime d’un important vol de données en juin 2019. Un employé de Desjardins a en effet diffusé les données de plus de 2,9 millions de clients - des particuliers comme des entreprises. L’employé en question a bien entendu été licencié et arrêté.

Parmi ces données, il y avait des noms, des adresses, des dates de naissance, des numéros de sécurité sociale et des informations sur les transactions habituelles des utilisateurs. Elles ont fait leur apparition sur le dark Web à la fin du mois de juin. Cette fuite avait coûté 53 millions de dollars à Desjardins au mois d’août.

Les violations fortement médiatisées inspirent les hackers

Pour bien comprendre comment les fuites de données favorisent le phishing, il suffit de suivre l’évolution de la popularité de Desjardins au sein de la communauté des hackers : En 2018, Vade a détecté 255 URL de phishing ciblant Desjardins.  En 2019, ce chiffre a augmenté de 1 680,4 %, pour un total de 4 540 URL de phishing uniques.

Autre exemple, la violation de données dont a été victime Equifax en 2017 a été immédiatement suivie par une alerte au phishing émise par la FTC (Federal Trade Commission). Peu après cette violation, Equifax a mis en ligne un site Web sur lequel les utilisateurs pouvaient saisir des informations personnelles afin de déterminer si leurs données avaient été compromises. Pour prouver que ce nouveau site Web n’était pas sécurisé, un développeur en a récupéré le code et a créé une page de phishing identique incluant un certificat SSL. Cette page était si convaincante qu’Equifax, déjà sous le feu des critiques pour sa gestion de la violation, a tweeté cette URL de phishing à trois reprises.

Cet exemple est tout à fait unique, car dans le cas de cette violation fortement médiatisée, les hackers n’avaient pas besoin de disposer de données sensibles : les consommateurs venaient à eux, contrairement à ce qu’il se passe habituellement avec un email de phishing.

Des tentatives de phishing liées à Equifax ont ensuite été détectées en 2017 et 2018. Les victimes de la violation étaient alors sur le pied de guerre et risquaient de se faire piéger par des emails de phishing imitant des alertes de sécurité provenant de banques. En 2018, Vade a détecté 38 537 emails de phishing uniques ciblant les grandes banques, notamment Bank of America, Wells Fargo et Chase.

Les questions de sécurité permettent d’accéder aux comptes protégés par un mot de passe

Pour récupérer un mot de passe, il suffit bien souvent de répondre à quelques questions de sécurité sélectionnées lors de la création du compte. Le site peut ainsi vous demander la ville dans laquelle vous vous êtes marié, le nom de votre premier animal de compagnie ou la marque et le modèle de votre première voiture. Si une telle information venait à tomber entre les mains d’un hacker, celui-ci pourrait accéder à votre compte sans même saisir votre mot de passe.

En 2018, l’analyste de sécurité Brian Krebs s’est intéressé aux nombreux types de « questions secrètes » auxquelles répondent les consommateurs lors de sondages informels, en particulier sur les médias sociaux comme Facebook. Pour lui, ces données d’historiques sont une véritable invitation pour les hackers à accéder à vos comptes. Par exemple, les questions liées à la marque et au modèle de votre première voiture font souvent partie des premières questions qui vous sont posées lors de la création d’un compte bancaire en ligne.

Ces données d’historiques sont autant de munitions permettant de mener des attaques de phishing ciblées et de spear phishing. En connaissant vos centres d’intérêt, un hacker peut déterminer à quels types d’emails de phishing vous êtes susceptible de réagir. Par ailleurs, il lui est plus facile de se faire passer pour une de vos connaissances.

Les fuites de données personnelles favorisent les attaques de phishing liées à de faux profils sur les réseaux sociaux

Vos données personnelles ne se limitent pas à votre nom d’utilisateur, votre mot de passe et votre numéro de carte bancaire. Il peut également s’agir de votre pensée politique, de vos loisirs, de vos centres d’intérêts et même de vos habitudes de consommation. Armé de ces informations, un hacker peut créer des profils virtuels et les utiliser pour cibler de nouvelles victimes.

En octobre 2019, Wired a signalé que quelque 1,2 milliard d'enregistrements de ce type étaient stockés sur un serveur non sécurisé. Parmi ces données figuraient les informations personnelles de centaines de millions d’utilisateurs de Facebook, Twitter, LinkedIn et GitHub. Bien qu’il soit relativement simple de créer un faux compte sur les médias sociaux, le fait de disposer d’autant de données personnelles réduit encore la difficulté de cette tâche et ajoute une authenticité difficile à obtenir avec un profil entièrement fictif.

En 2017, les forces de défense israéliennes ont identifié un réseau du Hamas ciblant les soldats israéliens. Le Hamas créait de faux profils féminins sur les médias sociaux à l’aide de données et de photos volées. Trois pièges de ce type ont ainsi été découverts de 2017 à 2020. Dans sa version la plus récente, le Hamas discutait d’abord avec les soldats par téléphone, puis les invitait sur des applications de réseaux sociaux privés via une URL de phishing. Une fois téléchargées, les applications diffusaient un virus prenant le contrôle des téléphones des soldats. Le Hamas avait ainsi accès aux caméras et microphones des téléphones, à la localisation des soldats, et plus encore.

Données issues de fuites : une double opportunité

Les hackers font preuve de plus en plus de créativité, en particulier lorsqu’il s’agit d’exploiter les données issues de violations pour forcer leurs victimes à répondre à leurs exigences. Les ransomwares liés au phishing ont fait leur grand retour en 2019 et ont paralysé des entreprises partout dans le monde. Dans la plupart des cas, les hackers menacent de détruire les données d’une entreprise si elle ne répond pas à leurs exigences. Ils ont récemment changé de stratégie et menacent désormais de faire fuiter des données.

Cette stratégie est également utilisée dans le cadre d’arnaques au RGPD. En effet, en cas de violation de données, les entreprises soumises au RGPD encourent une amende de 20 millions de dollars ou de 4 % de leur chiffre d’affaires. Comme dans l’exemple ci-dessus, plutôt que de chiffrer les données de l’entreprise, les hackers demandent simplement le paiement d’une rançon en Bitcoins pour ne pas diffuser les données sur Internet. Appelée « ransomhack », cette stratégie s’accompagne de demandes de rançons comprises entre 1 000 et 10 000 $, un montant dérisoire par rapport aux amendes prévues par le RGPD.

Enfin, les emails de sextorsion deviennent encore plus convaincants et effrayants lorsque le hacker utilise des données très personnelles contre sa victime. En janvier 2020, Vade a découvert des emails de sextorsion ciblant les victimes de la fuite de données ayant touché Ashley Madison en 2015. Cet email était très personnalisé et indiquait les informations de compte bancaire de la victime, son numéro de téléphone, sa date de naissance, ses questions de sécurité, ses messages privés et même les « préférences » qu’elle avait sélectionnées lors de la création du compte Ashley Madison.

La fuite de données de 2015 a exposé les données personnelles de plus de 32 millions d’utilisateurs. L’exemple ci-dessus ciblait un utilisateur lambda, mais certaines victimes n’étaient pas choisies au hasard. En 2015, Wired a signalé qu’environ 15 000 comptes Ashley Madison étaient associés à des adresses email en .gov ou .mil. On ne sait pas si les adresses email gouvernementales étaient authentiques ou non, mais il n’est pas difficile d’imaginer jusqu’où pourraient aller des personnages puissants pour étouffer une tentative d’extorsion.

Se protéger des fuites de données

Au total, 7,9 milliards de comptes ont ainsi été exposés en 2019. À moins que vous ne soyez extrêmement chanceux ou quasiment absent d’Internet, vos données figurent certainement parmi ces comptes. Par chance, vous pouvez vous protéger des tentatives de phishing avant et après une fuite de données :

  • Utilisez l’authentification à double facteur avec une application de génération de mots de passe à usage unique. Google Authenticator et Microsoft Authenticator constituent deux très bons choix.
  • Mettez à jour les paramètres de sécurité de votre adresse email et autres comptes en ligne au moins deux fois par an.
  • Surveillez régulièrement vos données. Des sites tiers comme haveibeenpwned.com et breachalarm.com peuvent rechercher des informations compromises associées à votre adresse email. Ils permettent également de créer des alertes.