Les fuites ou violation de données personnelles, que faire ?
Les données personnelles vous concernant vous sont propres et privées. Lorsque vous les confiez à un tiers, il doit tout mettre en œuvre pour les protéger. Je vous propose dans cet article de parcourir les différentes manières utilisées par les hackers pour subtiliser vos données personnelles et comment vous protéger.
Une hausse de plus de 79 % des notifications de violations de données à la CNIL ont été observé en 2021 par rapport à 2020 (Source : la CNIL).
Qu’est-ce qu’une fuite ou violation de données personnelles ?
Une fuite ou une violation de données personnelles, c’est le fait qu’une personne non autorisée accède à vos données personnelles. Le plus souvent, dans un but frauduleux. L’accès à vos données peut se faire de différentes manières : exploitation d’une faille, phishing, la fuite interne, la négligence, le vol physique, …
D’après l’article 4.12 du Règlement Général de Protection des Données (RGPD), la violation de données est définie ainsi :
« Violation de données à caractère personnel », une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
Source la CNIL
Qu’est-ce qu’une donnée personnelle ?
D’après l’article 4.1 du RGPD, une donnée personnelle est définie comme suit :
« données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
Source : la CNIL
On parle donc de toutes les données qui permettent de vous identifier : nom, prénom, adresse, téléphone, numéro de sécurité sociale, adresse mail, adresse IP, …
Comment les données peuvent-elles fuiter ?
Différentes méthodes pour parvenir à récupérer des données personnelles existent, voici les principales :
- L’exploitation d’une faille de sécurité : le pirate va exploiter une faille de sécurité pour s’infiltrer sur une machine ou un serveur afin d’accéder aux bases de données contenant des données personnelles (fichiers clients, mots de passe, coordonnées bancaire, calendrier de RDV, …).
- Le phishing : c’est une technique qui fonctionne toujours, elle consiste à envoyer un e-mail avec une pièce jointe infectée ou qui oriente la victime sur un site frauduleux dans le but de récupérer des informations personnelles (souvent couple utilisateur / mots de passe) pour pouvoir usurper l’identité de leurs victimes.
- La fuite interne : un employé mal intentionné peut récupérer des données en interne qu’il revend pour se faire de l’argent.
- La négligence : par exemple l’exposition d’un fichier client sur un serveur public, un défaut de configuration logiciel, un mot de passe trop faible voire même exposé sur un post-it aux yeux de tous…
- Le vol physique : une clé USB, un ordinateur, une tablette ou encore un smartphone volé sont des objets très bavards s’ils ne sont pas correctement protégés.
Les conséquences
Les conséquences d’une fuite de données peuvent être variables, elles peuvent servir à faire :
- De l’hameçonnage ciblé : envoi d’un mail personnalisé à votre égard contenant des informations personnelles afin de mieux se faire passer pour un organisme connu comme un banque par exemple.
- De l’usurpation d’identité : vos papiers d’identités (CNI, passeport, permis de conduire), avis d’imposition, fiches de paye sont autant de documents qui peuvent servir à louer un bien immobilier en votre nom, louer une voiture ou pire encore contracter des crédits sur votre tête.
- Accéder à vos comptes en ligne : en utilisant votre couple nom d’utilisateur / mot de passe sur différentes plateformes. S’il est identique partout c’est bingo pour le hacker !
- Revente d’informations : les données personnelles collectés ont de la valeur marchande. Ils se retrouvent alors très souvent sur le Dark Web où elles sont revendues.
Comment savoir si on est victime d’une fuite de données personnelles ?
Il y a deux façons pour savoir si vous êtes victime d’une fuite de données personnelles :
Vous avez été contacté par l’entreprise qui a été attaquée
Le RGPD impose aux entreprises de notifier la CNIL dans un délai de 72h maximum après la découverte de la violation de données personnelles. Elle devra également informer les utilisateurs qui en ont été concernés par la fuite de donnée dans les meilleurs délais afin qu’elles puissent prendre les mesures nécessaires.
En faisant de la veille
Il existe différents sites internet qui après avoir saisi votre adresse mail vont scruter l’ensemble des bases de données connues en utilisant les bases en libre accès sur le DarkWeb. Je vous en avais parlé dans cet article. Ainsi, si votre adresse mail est trouvée dans l’une de ces bases, vous saurez de quelle entreprise il s’agit et quels sont les types d’informations qui ont fuités. Il est même possible de créer un compte sur ces sites pour être prévenu dès que votre adresse mail est trouvée dans l’une des bases de données qui ont fuités.
Que faire en cas de fuite de données personnelles ?
Tout d’abord, il faut commencer par savoir quelle entreprise a subi une fuite de donnée.
Quelles sont les données concernées (État civil, documents privés, mot de passe, coordonnées bancaires, …).
Suivant la nature des données vous devez agir par exemple, si cela concerne le mot de passe, il convient de le changer sans délai. Si cela concerne vos coordonnées bancaires, contacter votre banque, changez de carte bleue et surveillez les débits bancaires des jours à venir.
Si vos informations personnelles se retrouvent publiés sur des sites internet ou carrément sur Google, sachez que vos pouvez les signaler aux plateformes qui les diffusent afin qu’ils fassent le nécessaire pour supprimer ces pages et les désindexer des moteurs de recherches.
S’ils ne répondent pas favorablement à votre demande, vous pouvez solliciter la CNIL ici : https://www.cnil.fr/fr/plaintes/internet
Dans tous les cas, conservez le maximum de preuves (imprime écrans, photos, mails, …), ils vous serviront plus tard pour l’enquête.
Comment s’en prémunir ?
Afin de mieux de protéger de ces attaques, voici quelques règles simples qui vous permettrons de limiter les conséquences en cas de fuite de données :
- Ne communiquez jamais vos documents sensibles par mail non sécurisé (CNI, passeport, Avis d’imposition, fiche de paye par mail). Préférez toujours l’utilisation des messageries sécurisés proposés par les banques ou alors le bon vieux papier.
- N’enregistrez pas vos coordonnées bancaires sur les sites d’achats en ligne.
- Utilisez des mots de passes forts et différents pour chaque plateforme / site internet utilisé.
- Utilisez l’authentification à deux facteurs lorsqu’elle est disponible.
- Soyez sobre et ne fournissez que les informations strictement nécessaires aux plateformes que vous utilisez.
- Faites le point régulièrement sur vos comptes en ligne et supprimez tous ceux inactifs en utilisant votre droit à la suppression de vos données personnelles. Vous trouverez sur le site internet de la CNIL des lettres types.
J’espère que cet article vous a été utile. Je suis impatient de lire vos commentaires sur cet article. N’hésitez pas à partager vos réflexions dans la section commentaires ci-dessous.