Avec les fuites de données, on a l'impression de vivre une histoire sans fin. Mais la dernière est de taille puisqu'on frise la centaine de millions d'informations de Français, allant des noms aux adresses mail en passant par les numéros de téléphone et une partie de coordonnées bancaires.
Les chercheurs en cybersécurité, on ne les connaît pas, ils travaillent souvent dans l'ombre, mais sans eux, on serait probablement déjà dépouillés de nos données. Une équipe de fins limiers a découvert une fuite sur un serveur Elasticsearch mal configuré qui a exposé les informations personnelles de plus de 95 millions de citoyens français.
Ils l'ont trouvée sous le nom de « vip-v3 », et elle renferme des renseignements provenant d'au moins 17 violations de données distinctes. On y trouve pêle-mêle des noms, adresses, numéros de téléphone, e-mails et même des informations bancaires partielles. Comme si les dernières fuites de données subies dans l'Hexagone n'avaient pas suffi.
Une mosaïque de données sensibles exposées au grand jour
Le contenu de cette base de données ressemble à un patchwork des pires cauchemars en matière de protection des données personnelles. On y trouve un mélange hétéroclite d'informations provenant de sources variées, allant des géants des télécoms aux plateformes de jeux en ligne. Parmi les fichiers les plus notables, on peut citer « sfr.fr.txt» qui semble contenir des données récupérées auprès de l'opérateur SFR, ou encore « darty.com.txt », possiblement lié à une violation du site du célèbre distributeur d'électroménager.
D'autres fichiers font référence à des mastodontes du Web comme Discord, Snapchat ou Pinterest. Le monde du sport n'est pas épargné non plus, avec des données apparemment issues d'Intersport et Go Sport.
Si Elasticsearch n'est pas à la portée de tout le monde, n'importe qui disposant de l'adresse du serveur pouvait accéder librement à cette base de données, sans la moindre authentification.
Des conséquences potentiellement dévastatrices pour les victimes
Avec la variété de données exposées, on peut imaginer le champ des possibles pour les cybercriminels. En premier, le phishing ciblé, le fameux « spear phishing ». La méthode consiste à récupérer un maximum de données personnelles, mais bien précises pour donner davantage de crédibilité et effrayer encore plus sa victime en lui indiquant ces détails sur sa vie privée lors de la basse besogne.
Sans oublier la fraude et l'usurpation d'identité rendues possibles « grâce » à la récupération de ces informations personnelles, et qui permettent au prédateur de se faire passer pour sa victime auprès de divers services, ouvrir des comptes en son nom ou même détourner des comptes existants. On peut aller de la demande de rançon au pillage des comptes bancaires.
Quant aux entreprises ciblées, elles ne sont pas exemptes de problèmes. En dehors du fait qu'elles pourraient être accusées d'enfreindre le RGPD pour ne pas avoir suffisamment protégé les données de leurs clients ou usagers, elles peuvent également prendre de plein fouet un coup de bad buzz de la part de celles et ceux qui leur ont confié leurs données, parfois aveuglément.
Bien entendu, même si personne ne peut savoir, pour l'heure, qui est concerné par ces fuites, le mieux est de faire preuve d'anticipation. Changez tous vos mots de passe, surveillez votre boîte mail en quête de tout message douteux de la part des entreprises ou des organisations sur lesquelles vous avez un compte, ainsi que les mouvements de vos comptes bancaires. En cas de fraude, n'hésitez pas à porter plainte auprès de la gendarmerie ou police de votre secteur.
Source : Cybernews
