Il n’y a jamais eu autant de fuites de données personnelles sur internet que depuis les 24 derniers mois. En tant qu’expert de la sécurité des emails, nous, éditeurs, sommes le réceptacle de ce flux de données que nous retrouvons ensuite dans des campagnes de phishing ou de spear-phishing.
En parallèle, et durant cette même période, le caractère « cyber géopolitique » a changé.
Les États Nations annoncent maintenant publiquement qu’ils n’appliquent plus uniquement une stratégie défensive dans le cyberespace. L’État français a notamment annoncé par le biais de la Ministre de la Défense, Florence Parly, qu’il intègre désormais une doctrine cyber offensive au travers de la Direction Générale de l’Armement et du Commandement cyber au même titre que pour les armes conventionnelles.
Toutes les fuites de données n’ont donc pas la même incidence sur les victimes.
Depuis quelques mois, nous voyons se multiplier des fuites de données personnelles pouvant être utilisées ici à des fins de chantage. En se basant sur des fuites de données très sensibles - que nous appelerons fuites de données de la honte ou Shaming Data Leaks – les cyber maitres chanteurs ont de fortes chances d’aboutir à leurs fins. Voici quelques exemples des différents types de menaces se diffusant actuellement sur les réseaux, et dont les victimes n’oseront probablement jamais parler…
Le terme de « sextortion » n’est pas nouveau. Contraction des mots « sexe » et « extorsion », ce chantage par email aurait ciblé plus de 700 millions de boîtes email dans le monde depuis sa création. Comment cela fonctionne-t-il ?
Toujours actif, cet email a pour but de contraindre une victime à payer une rançon en bitcoin sans quoi, le pirate diffusera à son carnet d’adresses les preuves de sa consultation de sites pour adulte. En un mot, il menace de briser le statut social de sa victime…
Dans le cadre du sextortion, le pirate a simplement trouvé l'email de la victime parmi le milliard de données fuitant chaque année sur internet, c'est ici, la peur de l’éventuelle preuve qui fait payer les victimes. Comme dans la plupart des cas, une sensibilisation de l’utilisateur aurait permis de réduire l’impact d’une telle attaque.
Selon différentes sources (dont Cofense) les campagnes email de type « sextortion » auraient généré depuis sa création, plus de 1200 victimes pour un préjudice d’1,6M d’euros !
Il est très surprenant de voir qu’un email basé sur aucune preuve tangible arrive à générer autant d’argent.
Mais qu’en sera-t-il en 2019/2020 avec les « Shameful Data Leak » ?
Les « Shameful Data Leak sont un phénomène à prendre très au sérieux pour les entreprises. La consommation de l’Internet a changé, ses utilisateurs aussi. Depuis quelques mois, nous observons un nombre grandissant de fuites de données ciblant les sites pour adulte, sites de rencontres en ligne et même un site de mise en relation avec des prostituées en Hollande.
Ce phénomène n’est pas nouveau, puisqu’en 2012, le principal site pour adulte « Youporn.com » a vu sa base de données d’utilisateur se retrouver sur Internet.Encore aujourd’hui, 7 années plus tard, il reste possible d’identifier formellement un utilisateur en se basant sur son adresse email de l’époque.
Comment identifier un utilisateur en se basant sur une adresse qui n’est plus utilisée ?
À la création des réseaux sociaux tels que Facebook, Twitter ou Linkedin, les utilisateurs que nous sommes n’avions pas encore la notion d’hygiène de la donnée.
Nous étions bien loin de penser que l’ensemble de nos données seraient à la fois structurées, analysées et répertoriées par les GAFA. Grâce à ce travail de mémoire, il reste très simple en 2019, d’identifier formellement une personne au travers de l’adresse email qu’elle utilisait lorsqu’elle était étudiante, à partir du moment où elle l’a utilisé au moins une fois pour se connecter à son réseau social favori.
Le problème aujourd’hui est que cette démonstration est très facile à mettre en œuvre.
Chaque nouvelle fuite de données est suivie de son lot d’analyses.
Hookers.nl : 292 000 utilisateurs
Dans cette fuite de données datant d’octobre 2019, les 292 000 utilisateurs du site hookers.nl se retrouvent sur les réseaux. Après analyse, plus de 1500 français, 1200 canadiens et 14 000 belges seraient concernés…
VTS Media : 1 millions d’utilisateurs
En novembre 2019, le groupe de média espagnol VTS Media a laissé fuiter des millions d’informations personnelles dont des IP, nom d’utilisateur, discussions privées et même des mots de passe dans certains cas suite à une mauvaise configuration de l’un de ces serveurs.
VTS Media est le propriétaire de sites de « camgirl », tels que le site amateur.tv. Dans cette fuite les informations des utilisateurs mais également des professionnels du sexe ont fuité.
Heyyo : 77 000 utilisateurs
Cette application de rencontres a vu de nombreuses informations fuiter dans la nature : Nom d’utilisateur, adresse email, coordonnées GPS, genre, date de naissance, préférence sexuelle, photos de profil, numéro de téléphone. Les 77 000 utilisateurs de cette application se situent au Brésil, en Turquie et aux États Unis principalement.
Les applications de rencontres restent un vecteur privilégié pour les pirates, permettant ainsi d’extraire des photos compromettantes et ainsi de contraindre la victime.
Que faire face à du chantage par email ?
Si vous recevez un email de chantage sur votre adresse professionnelle, la première chose est d’avertir le responsable informatique afin d’avoir une première analyse de la menace.
Si vous recevez un email de chantage sur votre adresse personnelle et que les faits sont avérés, rapprochez-vous des services de l’État par exemple au travers du service cybermalveillance.gouv.fr
Enfin, il est également possible de savoir si ses données personnelles sont dans la nature après avoir fuité sur Internet, au travers de services en ligne tels https://haveibeenpwned.com/ et https://ghostproject.fr