Data leak, que deviennent nos données ?

C’est maintenant presque quotidien, une nouvelle fuite de données chez tel ou tel géant du net, une faille SQL injection exploitée sur tel forum ou tel site web de plus petite envergure. Mais que deviennent réellement ces informations volées lors d’un data leak ?


Dans cet article, nous allons faire un tour dans le monde du data leak. Quelles peuvent être les utilisations faites des données dérobées lors d’un leak ? Quelles sont les mesures à prendre en tant qu’utilisateur ?

Note : Je me tiendrai relativement loin du “Dark Web” pour cette analyse qui ne se veut pas forcément exhaustive.

Weebly est le dernier en date au jour de l’écriture de cet article, mais le plus médiatisé du moment est certainement Yahoo!. Plusieurs centaines de millions de comptes utilisateurs se retrouvent dans la nature. Mais quel est réellement l’impact, non pas pour l’entreprise ayant subit l’attaque, mais pour l’utilisateur final ?

Un “leak”, signifie une fuite, c’est à dire une extraction des informations, censées être secrètes, qui se retrouvent alors dans des mains autres que celles dans lesquelles l’utilisateur a choisi de les laisser. On parle alors de compromission de la donnée, qui n’est plus secrète, ou également d’atteinte à la confidentialité de la donnée.

Entre vente et libre circulation, comment trouver les données leakées ?

La première question est d’identifier l’objectif des pirates. La plupart du temps, l’unique raison est de se faire de l’argent avec les données volées, nous verrons plus tard comment un simple couple “login:mot de passe” peut être exploité et comment cette valeur lui est attribuée. D’autres but envisagés peuvent être :

  • Atteinte à la concurrence : en discréditant un concurrent de par la faiblesse de sa sécurité, en faisant fuir les utilisateurs
  • L’Hacktivisme, ce qui aurait pu être envisagé pour le piratage d’Ashley Madison par exemple, dont l’activité est fortement décriée (site de rencontre adultère)

Pas de doute, plus le service est important (Yahoo! ou  le forum des fans du chanteur local de la région) et plus il dispose d’utilisateur (actifs ou non), plus la donnée a de la valeur.

L’idée pour un attaquant est donc de rendre publiquement disponible les données leakées le plus tard possible et, en attendant, de monétiser l’accès aux données volées.

Prenons un exemple : Le hack de Linkedin a été perpétré en 2012. Suite à ce piratage, 6.5 millions de crédentiels ont été divulgués, certainement une façon pour le pirate de montrer qu’il était bien en possession de ces identifiants et ainsi apporter du crédit à son piratage. En 2016, on apprend que ce piratage a donné lieu à la fuite de 117 millions d’identifiants. Entre 2012 et 2016, on peut imaginer que l’accès à ces 117 millions d’identifiants ait fait l’objet d’achats/ventes très discrets.

Dans cet article de motherbord.vice.stfi.re, une source du site LeakedSource indique que les données sont très certainement restées dans un petit groupe de hacker Russes tout ce temps. À partir de 2016, on retrouve les 116 millions d’identifiants en vente pour 5 bitcoins (~2200 de dollars) sur le marché noir TheRealDeal :

1463553911538141

Leak Linkedin en vente sur TheRealDeal. Source : http://motherboard.vice.stfi.re

Pour information, le Hacker (Russe) identifié comme responsable du piratage de Linkedin a été arrêté récemment selon cet article de The Hacker News :

Dans cet article de 2015 sur bgr.com (Here’s how much your stolen data is worth on the Dark Web), l’auteur référence les prix d’achat des informations volées, il prend pour référence l’étude “The Hidden Data Economy” de McAfee. Il est à noter que ces informations ne sont pas forcément toutes en provenance d’une fuite de données massive d’un  site web, cela peut parfois être le fruit d’une campagne de phishing ou d’une infection via malware. Néanmoins, cela donne une idée du prix auquel nos informations peuvent être achetées. Quelques exemples :

  • Le prix moyen d’un numéro de carte de crédit est d’environ 30$ pour une carte US, entre 20$ et 35$  pour une carte du Royaume-Uni, 20$ à 40$ au Canada et $25 à 45$ en Europe. On parle bien ici de la provenance de la carte de crédit
  • Un accès à un compte en banque peut se vendre entre 190$ et 1200$ en fonction du montant présent sur le compte dérobé
  • Des informations d’identification des programmes de fidélité des hôtels et des comptes d’enchères en ligne: entre 20$ et 1400$
  • Des informations d’identification des comptes premium pour des services comme Netflix: 0,55$

Voici un tableau qui référence ces informations, provenant du rapport “The Hidden Data Economy” de McAfee :

thehiddendataeconomy
On voit ici que les informations volées ont clairement une valeur pécuniaire et qu’un vol de plusieurs millions d’identifiants comme celui de Weebly (CMS en ligne) peut rapporter gros.

Outre le Dark Web, les données finissent systématiquement par se retrouver sur le net “standard” (si on peut l’appeler ainsi). Il existe par exemple différents forums (dont l’accès est plus ou moins privé/restreint) où les utilisateurs se partagent les liens des leaks récents. Je me suis ainsi retrouvé en possession des leaks de données Badoo très facilement :

leak-badoo

Téléchargement des données du leak Badoo sur un forum d’échange sur les leak de données

L’occasion, d’y retrouver un nom/prénom précis pour voir si telle ou telle personne avait un compte Badoo par exemple, ou a plus grande échelle savoir que plusieurs centaines d’inscrits utilisaient leur mail .gouv.fr (nom de domaine appartenant au gouvernement français)  :

badoo-leak-gouv-fr

Filtre des mails du leak Badoo sur “gouv.fr”

Ce genre d’informations peut être cocasse dans un premier temps, mais également vite devenir critique selon les cas, que cela soit pour un individu isolé ou pour une entreprise :

  • Cas réel : Suite au piratage de Ashley Madison, un site de rencontre/adultère, les données ont été utilisées afin de procéder à du chantage vis à vis des personnes inscrites. Certains utilisateurs sont même allés jusqu’au suicide après la diffusion publique de la liste des utilisateurs
  • Cas hypothétique : Mr X s’inscrit sur un site web avec son mail professionnel, cette plateforme se fait pirater et les identifiants de Mr X, Administrateur systèmes de l’entreprise Y, se retrouvent dans la nature. Quelques mois plus tard, l’adresse mail et le mot de passe de Mr X sont utilisés en pleine nuit lors d’une connexion VPN à son système d’information qui se retrouve dans un bien mauvais état. Ici, à la fois Mr X se retrouve avec des ennuis, mais l’entreprise Y subit également des dommages. Imaginez maintenant la même chose avec une plateforme professionnelle comme LinkedIn, OVH ou Microsoft…

Quel impact pour l’utilisateur ?

C’est ici toute la valeur de ces informations (pour ne parler que du login/password). Mais concrètement, qu’est-ce qu’un utilisateur a à craindre d’un vol massif de compte ? Voyons différentes exploitations possibles :

  • Retrouver les comptes associés à partir d’un mail

Même s’il est fortement conseillé d’utiliser un mot de passe différent pour chaque compte, cela n’est pas toujours appliqué. Ainsi il est souvent possible de gagner l’accès à d’autres comptes que celui de la plateforme visée. Par exemple lors du leak sur “Yahoo!”, on peut s’attendre à ce que l’adresse mail d’un utilisateur soit utilisée comme adresse mail d’inscription pour d’autres sites, que l’on peut potentiellement trouver sur les moteurs de recherche à partir du pseudo, nom+prénom ou adresse mail de l’utilisateur visé. De la même façon, si le mot de passe ressemble à quelque chose comme “MonSuperMotdepasse!Yahoo“, on peut s’attendre à ce que son mot de passe Facebook ressemble à “MonSuperMotdepasse!Facebook“, d’où l’importance de la randomisation (inclusion de l’aléatoire) des mots de passe !

Dans certains cas, il est possible d’étendre l’espace authentifié, c’est par exemple le cas si un compte Facebook est dérobé et que la cible utilisait le fameux “Authentification via Facebook” sur d’autres sites. Là encore, le leak d’un couple login/mot de passe peut avoir un impact qui s’étend rapidement à d’autres sites web que celui piraté.

  • Atteinte à l’image d’une entreprise

Il est très courant de retrouver, dans les leak de données, des données relatives aux entreprises. Cela a par exemple été le cas dans le leak Badoo que nous avons vu plus haut où des adresses en “gouv.fr” était retrouvées. L’impact peut là aussi être important au niveau de l’image de l’entreprise et peut même aller jusqu’à une compromission d’accès des comptes professionnels (comptes en ligne, accès aux applications métier…)

  • Construction de liste de spam mail

Quoi qu’on en dise, les spams sont toujours présents dans nos boites mails, on se demande souvent comment telle marque de parfum ou tel vendeur d’assurance s’est retrouvé en possession de notre adresse mail. Les adresses mails, et plus généralement les données personnelles ont une valeur certaine et la vente/achat d’identité est très courant. Ainsi, un pirate qui se retrouve en possession des adresse mails de tous les comptes “Linkedin” par exemple, peut facilement établir une campagne de spam ou de phishing avec ces informations.

  • Usurpation d’identité avec les informations complémentaires

Le vol de compte ainsi que la corrélation d’informations retrouvées dans un leak de données peut conduire à une usurpation d’identité, que cela soit sur des réseaux sociaux, des forums ou même des plateformes de vente en ligne.

Hors du monde “web”, vos données restes valables. Ainsi il est tout à fait possible qu’un pirate se fasse passer pour vous auprès de votre banque simplement par un coup de téléphone. Plus le pirate disposera d’informations précises sur votre vie privée (adresse postale, nom des enfants, questions secrètes, etc.) plus l’usurpation d’identité sera crédible auprès d’une banque ou d’un autre organisme.

Différents sites existent pour savoir si un compte mail se retrouve dans un leak de données, le plus connu est certainement HaveIBeenPwned :

haveibeenpowned

Le concept de ce genre de site est de récupérer les données de l’ensemble des leaks (notamment l’adresse mail et le login) pour qu’un utilisateur puisse retrouver, en saisissant son nom ou son adresse mail, si ses informations ont fuité dans un piratage. L’exemple ci-dessus montre par exemple que mes identifiants figurent dans les leaks de Xsplit (service que je ne connais même pas), LinkedIn et Dropbox (que j’ai dû utiliser 10 jours consécutifs en 2012). Ces informations sont intéressantes car il me “suffit” de savoir quel mot de passe j’utilisais sur ces différentes plateformes pour ensuite le changer (dans le cas où j’utilisais le même ailleurs).

Il faut cependant être prudent, car ces services peuvent aussi être utilisés à des fin malveillantes :

  •  Récupération d’adresse mail : On ne sait pas qui est derrière le service. Concrètement, cela revient à s’inscrire sur un site web. Bien que HaveIBeenPowned soit le plus réputé, je n’ai aucune information sur ce qui est fait de mon adresse mail une fois traitée. Elle pourrait très bien être utilisée dans le cas d’une revente d’adresses mails pour du pishing/spam par exemple. J’ai également eu l’occasion de croiser des sites similaires dans lesquels il fallait saisir son mot de passe pour savoir si “votre mot de passe a été volé“. Autant vous dire que les intentions des créateurs de ce genre de plateformes ne sont pas bonnes du tout. Outre le fait qu’il ne faille jamais donner son mot de passe à qui que ce soit, il est fort probable qu’une correspondance de mot de passe puisse être trouvée avec une personne qui utilise le même que vous, donnant alors un faux résultat. Bref.

Dans le même genre, le site LeakedSource, qui semble donner plus de correspondance que HaveIBeenPowned :

leaked-source

Interface du site http://leakedsource.com/

On peut noter qu’une inscription est possible afin de visualiser les données, encore une fois, ce genre d’option peut être utilisée à des fins malveillantes par un pirate.

  • Un autre cas intéressant, un attaquant qui s’est fixé une cible définie peut chercher à savoir si un couple “login:mot de passe” de sa victime se trouve dans un leak connu, pour ensuite trouver le leak et retrouver/tenter de déchiffrer son mot de passe. Nous avons vu que la plupart des leak finissaient par se retrouver librement accessibles sur Internet. Exemple, si quelqu’un parvient à retrouver la fuite de données LinkedIn et à retrouver mon compte à l’intérieur, il pourrait tenter de retrouver le mot de passe correspondant au hash, puis à obtenir mon mot de passe.

Note : Dans la quasi-totalité des cas où le leak de données est admis par l’entreprise victime, celle-ci procède à une réinitialisation forcée des mots de passe des comptes utilisateurs afin que les données du leak ne soient plus valides.

Cependant, comme nous l’avons vu pour certains utilisateurs, le login/mot de passe est utilisé à l’identique sur différents comptes, ces données ont donc toujours une importance.

Voici un article plus détaillé sur les dangers que peuvent apporter ces services web : http://www.zataz.com/leakedsource-fuite-vie-privee/

Pour revenir aux différents services tels que LeakedSource, ceux-ci servent également à suivre l’actualité des fuites d’informations, ce qui n’est pas du luxe lorsque l’on stocke soi-même des données sensibles, il est toujours intéressant de garder un œil sur les news de ce type de site.

En tant qu’utilisateur, que faire ?

Différentes actions et bons réflexes peuvent être menés, certains sont complexes à mettre en place, d’autres très simples, par exemple :

  • Changer de mot de passe à chaque compte : si votre compte Yahoo! se retrouve dans la nature mais que le mot de passe utilisé sur Yahoo diffère totalement des mots de passe utilisés sur tous les autres services, vous n’aurez rien à craindre (mis à part pour votre compte Yahoo, dont le mot de passe sera à changer).
  • Disposer de plusieurs adresses mail, par exemple une pour les services “vitaux” (votre banque, par exemple) et une pour les services secondaires (forums, jeux vidéos…). J’ai également pris pour habitude d’utiliser une adresse mail “poubelle” dont je me sert pour les services dans lesquels je n’ai aucune confiance et dont l’intérêt m’est égal.
  • Utilisation de l’authentification double facteur :
    L’authentification à double facteur ne protégera pas votre mot de passe, ni même vos autres comptes si vous utilisez le même mot de passe partout. Cependant elle protégera l’accès à votre compte car avec comme unique information votre mot de passe, un pirate ne pourra se connecter à votre compte sans être en possession du deuxième facteur d’authentification.
  • Modifier fréquemment ses mots de passe, au moins pour les services que j’appelle “vitaux” et dont la perte de contrôle pourrait avoir un impact important sur votre vie réelle ou numérique. Si votre le mot de passe enregistré lors de la fuite de données n’est plus le même une fois que les informations sont vendues ou rendues public, alors la donnée est obsolète et inutilisable.
  • Ne pas s’inscrire n’importe où. Il est important de garder un maximum de contrôle sur ses données. L’utilisation de différentes adresses mail est nécessaire, avoir une adresse mail “poubelle” est ici utile encore une fois. Mais il faut garder à l’esprit que plus votre mail sera inscrit dans des plateformes différentes, plus les chances qu’il fasse partie d’une fuite de données seront importantes. (Un peu hors propos, mais cet article est plutôt intéressant si vous souhaitez entamer une démarche de suppression de vos comptes inutiles “Comment j’ai commencé à disparaitre d’internet“)
  • Contrôler les données. J’ai ici beaucoup parlé du couple login/mot de passe, mais ce n’est pas la seule information de valeur pouvant se retrouver dans un leak de données. Adresse mail secondaire, question de secours, adresse postale ou nom/prénom sont autant d’informations importantes dont les sites web n’ont pas toujours besoin. Ainsi, soyez attentifs aux informations que vous inscrivez dans vos différents comptes web et n’hésitez pas à remplir avec de fausses informations si nécessaire et quand cela est possible. Aucun site, mis à part éventuellement des plateformes de commerce en ligne, n’a d’utilité à connaitre votre adresse postale. Exemple concret, pour laisser un commentaire sur mon blog, mon CMS WordPress demande un site web, une adresse mail et un pseudo : en quoi ces informations sont elles intéressantes à inscrire pour vous ? En rien, ainsi, rien ne vous empêche de mettre de fausses informations (ou aucune, si le champ n’est pas obligatoire), votre commentaire sera lu tout à fait de la même manière.

Concrètement, enregistrer une information sur une plateforme autre que son propre poste revient quasiment à la rendre public. En effet, on ne peut tabler sur le fait que l’information en question, qu’elle soit extrêmement sensible ou non, ne soit jamais dérobée à son détenteur (qui est l’hébergeur du site/application web, et non plus vous). Ainsi, ce n’est pas un abus de langage de dire que l’information devient publique, avec cela en tête, on devient tout de suite plus vigilant vis à vis des informations que l’on laisse sur le net.

Je suis loin d’avoir fait le tour du sujet, notamment en ce qui concerne le Dark Web et l’utilisation malicieuse des données récupérées par des pirates, mais j’espère que cet article vous aura aidé à mieux comprendre l’impact d’un leak, qu’il soit médiatisé ou non.

Vous aimerez aussi...

1 réponse

  1. Kelly dit :

    Merci de m’avoir éclairé sur cette histoire grace à votre article !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *