La crainte est tout à fait normale et légitime. Lorsque vous entendez parler d’une violation de données, la première chose qui vous vient à l’esprit est de vous demander si vous êtes concerné(e).
Typiquement, vous comparez alors le nom de la société piratée avec la liste de sociétés, produits et d’interactions en ligne que vous avez eues depuis quelques années. Une fois que vous avez vérifié cette liste de risques potentiels, vous pouvez souffler. Et vu que vos autres comptes en ligne ne sont pas apparus dans les actualités, vous n’avez pas à vous inquiéter outre mesure. Vrai ?
Faux. La réaction « pas de nouvelles, bonnes nouvelles » néglige un élément essentiel : entre le moment où les données personnelles ont été dérobées et le moment où la violation de données est rendue publique, il peut parfois s’écouler plusieurs mois. Parfois, cette période peut s’étendre sur des années. Et de nombreuses violations de données ne sont jamais rendues publiques.
Les moyens d’apprendre l’existence d’une violation de données sont aussi variés que les moyens de les pirater. Les gens peuvent découvrir dans les actualités qu’une entreprise où ils font régulièrement leurs achats a été piratée. Ils peuvent aussi remarquer une augmentation soudaine d’activité sur leur compte bancaire. Ou ils pourraient ne rien voir du tout, jusqu’à ce qu’ils demandent un prêt bancaire par exemple. Les vols de données ne suivent pas tous un mode opératoire identique.
Certains piratages de données peuvent être détectés sur le Dark Net en quelques semaines lorsque les cybercriminels tentent de monétiser les données dérobées tant qu’elles sont encore fraîches. Dans le cas des piratages industriels ou piratages d’État – comme celui du Marriott, dans lequel les données ne sont jamais apparues sur le Dark Net, le but du piratage était uniquement de recueillir des données détaillées sur les clients.
Cinq moyens de savoir si vos données personnelles ont été dérobées/divulguées
1. Les actualités
Lorsque des violations de données de grande ampleur sont découvertes, des journaux comme le New York Times ou le Wall Street Journal en font généralement état. Les publications spécifiques sur la sécurité comme Krebsonsecurity, SC Magazine et 01Net sont encore plus détaillées et fourniront plus d’informations sur l’origine de la violation.
2. Vos relevés bancaires
Vérifiez régulièrement vos relevés bancaires pour détecter les prélèvements qui vous sembleraient inhabituels. Si vous remarquez plusieurs achats d’affilée dans une pizzeria, il se peut que votre compte ait été piraté ou qu’on ait volé les détails de votre carte bancaire.
3. Haveibeenpwned
Le site Internet Have I Been Pwned? est le site incontournable permettant aux utilisateurs de vérifier si leurs données personnelles ont été compromises dans une violation de données. Il a été créé par Troy Hunt après la violation de données d’Adobe, car il a constaté par la suite que les mêmes comptes et mots de passe étaient régulièrement piratés. Pour utiliser ce site, rendez-vous sur https://haveibeenpwned.com/, saisissez votre adresse e-mail et cliquez sur « pwned? ». Si vous voyez le message « Oh no — pwned! », il se peut fortement que votre adresse e-mail ait fait partie d’une récente violation de données. Cela se limite aux adresses e-mail et ne comprend pas d’autres informations importantes pouvant être piratées, comme les numéros de téléphone ou de sécurité sociale.
4. Bureaux de crédit (aux US)
Aux États-Unis, vous pouvez obtenir un rapport sur votre score de crédit gratuitement tous les ans, par chacun des trois grands bureaux de crédit : Equifax, Experian et TransUnion. C’est le moyen traditionnel de savoir si des activités suspectes ont lieu sur vos comptes et si l’on a ouvert de nouveaux comptes en votre nom. Toutefois, Equifax a lui-même connu une violation de données majeure, ce qui met un doute sur leurs processus de traitement des données. Depuis 2018, les Américains peuvent également « geler » leurs scores de crédit, ce qui empêche les trois bureaux de crédit de publier ou de vendre un rapport sur leur score de crédit. C’est un service gratuit qui s’ajoute aux services payants des bureaux permettant de « verrouiller son score de crédit ».
