Dossier

Piratage de comptes : comment réagir et se protéger

Sécurité

Par Amandine Jonniaux le

Comment savoir que l’on a été piraté ? Comment protéger ses données en amont ? On a posé la question à plusieurs experts en cybersécurité.

Crédits Biljana Jovanovic via Pixabay

Avec en moyenne 18 comptes sur les plateformes en lignes, les Français sont très exposés au vol de données sur Internet. Le numérique prend de plus en plus de place dans nos vies. Du simple achat à la gestion de nos comptes en banque, une grande partie de nos démarches se dématérialisent. Mais les données que cela concerne sont parfois sensibles. En cas de piratage, cela peut s’avérer très problématique.

Comment savoir que j’ai été piraté ?

Lorsque l’on réalise qu’on a été piraté, il est souvent déjà trop tard. L’alerte vient souvent d’un proche qui a reçu un message bizarre censé venir de nous. Si beaucoup de personnes de votre entourage ne sont pas très familiarisées avec les arnaques sur internet, cela peut donc valoir le coup de leur en parler. Expliquez-leur par exemple que, jamais au grand jamais, vous ne leur demanderiez par mail de « vous envoyer de l’argent sans en parler à personne » et que si elles reçoivent un message de ce type c’est forcément une escroquerie. D’autres indices peuvent aussi alerter par exemple une alerte suspecte de connexion depuis un nouvel appareil. Des sites comme le célèbre Have i been pwned ? ou Identity Theft Checker vous informent par ailleurs s’ils repèrent votre mail dans des listing de données hackées. “L’idée, c’est que vous entrez votre adresse mail, et qu’on vous donne le nombre de fuites de données enregistrées pour cette dernière”, confirme Jonathan Farhi, Operational Key Account Manager chez F-Secure.

Comment un hacker vole mes données ?

Dans une très grande majorité des cas, c’est en prenant le contrôle de votre boîte mail qu’un pirate va accéder à l’ensemble de vos données en ligne, explique Jean-Jacques Latour, responsable de l’expertise Cyber pour la plateforme cybermalveillance.gouv.fr : “Aujourd’hui, la messagerie est devenue l’élément critique de notre vie numérique, car on échange de plus en plus avec les différentes institutions, et que de plus en plus d’internautes utilisent leur boîte mail comme un espace de stockage pour leurs documents officiels”. Fiches d’impôts, relevés bancaires, papiers d’identité… Autant d’éléments sensibles qui faciliteront la tâche d’un pirate en cas d’usurpation d’identité. “Toutes ces informations, elles ont de la valeur pour un cybercriminel, parce qu’il va pouvoir les récupérer et s’en servir, ou alors les revendre sur le dark web à des gens qui les utiliseront pour commettre des escroqueries, ou usurper l’identité de la victime”. À noter qu’en cas de vol de données en ligne, la moindre information récupérée par le pirate peut avoir son importance, rappelle Lam Son Nguyen, Partner Product Manager, EMEA, McAfee : « Même le simple vol d’un carnet d’adresses peut être dommageable à la personne si le criminel se fait passer pour celle-ci et demander de l’aide financière »

  • Phishing

Classique de la fraude en ligne, le phishing, ou hameçonnage, concerne près de 30% des cas de piratages recensés. Cette technique consiste généralement pour le cybercriminel, à envoyer un mail à sa cible en se faisant passer pour un organisme de confiance (banque, sécurité sociale, fournisseur Internet…). “Le pirate vous renvoie ensuite vers un site frauduleux ayant l’apparence de l’organisme en question, et vous demande d’entrer votre identifiant et votre mot de passe pour vous connecter”, explique Jonathan Farhi. Le hacker n’a ensuite plus qu’à se connecter sur le compte de sa victime, en utilisant les informations qu’elle lui a livrées sur un plateau.

  • Fuite de données

En piratant l’intégralité de la base de données client d’une entreprise ou de toute autre plateforme mal sécurisée, un hacker peut obtenir une très grande quantité d’identifiants et de mots de passe d’un seul coup. Des informations qui se retrouvent ensuite vendues sur le dark web.

  • Mot de passe trop faible

Aujourd’hui, notre adresse mail est devenue l’identifiant commun à la plupart de nos comptes en lignes, alors même qu’elle est connue de (presque) tous. “Pour pirater un compte, un hacker n’aura finalement besoin que de votre mot de passe”, rappelle ainsi Jean-Jacques Latour. Seul problème : nos mots de passe se révèlent souvent défaillants, trop courts ou simplement communs à plusieurs comptes, explique Jonathan Farhi : “Les mots de passe les plus répandus sont encore 123456, Bonjour ou motdepasse”. En mettant la main sur un seul mot de passe, un cybercriminel accède donc parfois l’ensemble de votre vie numérique.

En cas de vol de données, je fais quoi ?

Lorsque votre boîte mail a été piratée, le premier réflexe est de changer son mot de passe – si cela est possible- puis d’aller immédiatement porter plainte. “Si la victime ne dépose pas de plainte, le pirate ne risque rien”, précise Jean-Jacques Latour. Pour apporter des preuves supplémentaires aux forces de l’ordre, n’hésitez pas à « tout documenter à l’aide de captures d’écran, de copies de messages ou d’appels, car cela pourra aider à justifier une usurpation d’identité », explique Lam Son Nguyen. En plus de permettre l’ouverture d’une instruction à l’encontre du cybercriminel, le dépôt de plainte vous assurera aussi d’être protégé en cas d’usurpation d’identité, et d’entamer plus facilement des démarches auprès des différentes institutions. “Il est très important d’avoir toujours cette plainte sur soi”, conseille Jonathan Farhi. “C’est quelque chose qui peut vous poursuivre dans la vie réelle pendant plusieurs années. La personne qui a volé votre identité peut avoir fait du trafic de drogue, commis des délits, et vous vous retrouvez recherché mondialement”. Si la preuve d’un dépôt de plainte n’a pas réellement de valeur juridique, elle vous permettra malgré tout d’attester de votre bonne foi.

En cas de fraude bancaire, comment réagir ?

Non content d’avoir infiltré votre boîte mail, le pirate est parvenu à s’emparer de données bancaires ? Si ce dernier réalise des achats en ligne, il est possible de contester un paiement frauduleux afin d’en obtenir le remboursement. En revanche, il est beaucoup plus compliqué d’obtenir gain de cause lorsque ce dernier a réalisé des virements externes depuis vos comptes, rappelle Jean-Jacques Latour : “Il commence à y avoir un peu de jurisprudence à ce sujet. Les banques sont évidemment réticentes à rembourser leurs clients dans ce type de cas”. En 2014 déjà, le Crédit Mutuel refusait le remboursement d’un client victime de piratage bancaire, estimant que ce dernier était “coupable de négligence” en répondant à des mails de phishing. Dans tous les cas, il convient de porter plainte et de contacter au plus vite votre banque afin que cette dernière prenne les mesures nécessaires pour annuler les opérations frauduleuses si c’est possible, ou à minima pour bloquer vos comptes et éviter de nouveaux virements indésirables.

Lorsque la banque rembourse le préjudice financier causé par un vol de données en ligne, on peut être tentés d’abandonner les poursuites judiciaires. Une situation qui profite pourtant aux pirates, rappelle Jean-Jacques Latour : “Une fois que la banque a remboursé la victime, le plus souvent c’est terminé, il n’y a pas de plainte, et donc pas de poursuite des auteurs, le ministère n’est même pas au courant de l’infraction”. Pour remédier à cette situation, le gouvernement a ainsi mis en place depuis le 1er janvier 2018, la plateforme Perceval. Une procédure moins lourde qu’une plainte et entièrement réalisable en ligne, qui permet aux victimes de signaler massivement les fraudes à la carte bancaire.

Quelles précautions prendre en amont ?

Pour éviter le piratage de votre boîte mail, ou de tout autre compte contenant des données sensibles, le mieux reste encore de prendre quelques précautions en amont. Premier réflexe, se tenir un peu au courant des différentes méthodes d’intrusion utilisées par les cybercriminels. Il ne vous viendrait pas à l’esprit de communiquer oralement votre numéro de carte bleue au premier venu, sous prétexte que ce dernier affirme être employé par votre banque. Sur Internet, c’est pareil. De manière générale, jamais un organisme ne vous demandera de lui communiquer votre mot de passe, ou toute autre information sensible. Attention aussi aux faux sites vers lesquels redirigent parfois les pirates. En cas de faute d’orthographe sur des plateformes prétendument officielles ou encore d’adresse mail et URL suspects, le mieux reste encore de ne pas donner suite.

Enfin, et c’est sans doute le plus important, il est crucial de sécuriser vos mots de passe.

Crédits Lego Batman The Movie

Long, complexes et uniques

Pour être efficace, un mot de passe doit être complexe mais surtout assez long, explique Jonathan Farhi : “La complexité est un plus, mais c’est avant tout la longueur qui est le critère le plus important. Un bon mot de passe doit être facile à retenir pour vous, mais difficile à trouver”. Exit donc les prénoms des enfants ou la date de naissance du chien qui détiennent la palme des pires mots de passe de l’année, le mieux est encore d’opter pour une phrase entière que vous avez en tête. Autre critère important, un bon mot de passe doit être unique. “Aujourd’hui, 56% des internautes utilisent systématiquement le même mot de passe (ou des variantes de celui-ci) pour sécuriser l’ensemble de leurs comptes”, rappelle l’expert en cybersécurité. En utilisant des clés différentes pour chaque service, on s’assure ainsi de ne pas exposer l’ensemble de sa vie numérique si un de nos mots de passe se retrouve compromis.

Évidemment, il paraît compliqué de retenir plus d’une vingtaine de mots de passe différents sans hériter d’un sérieux mal de crâne. Le gestionnaire de mot de passe (ex: Keepass, True Key, ID Protection…) constitue une option efficace et sécurisée. “C’est une très bonne solution, estime Jean-Jacques Latour de cybermalveillance.gouv.fr, puisque c’est le seul moyen de retenir et de stocker plusieurs dizaines de mots de passe”. En centralisant l’ensemble de ses mots de passe sur un serveur sécurisé, il est ainsi possible de ne plus les oublier, et de les garder à portée de main. Évidemment, si vous choisissez d’utiliser un gestionnaire de mots de passe, il conviendra de définir une clé principale fiable pour le sécuriser, et de ne pas la laisser traîner n’importe où.

En plus d’investir dans un gestionnaire de mot de passe, l’une des sécurités les plus fiables existantes actuellement consiste à activer l’option de double authentification. Accessible sur la plupart des services de messagerie, mais pas seulement, cette fonctionnalité permet à l’utilisateur d’être averti à chaque fois qu’une connexion a lieu depuis un nouvel appareil. S’il s’agit effectivement de vous, il vous suffira de copier le code reçu (généralement par SMS) pour valider la procédure. Sinon, vous saurez que quelqu’un a tenté d’infiltrer votre compte, et qu’il possède non seulement votre identifiant, mais aussi votre mot de passe. Il vous sera alors possible de bloquer la tentative de connexion, avant de changer votre mot de passe. À noter qu’une fonctionnalité similaire nommée 3D Secure existe aussi pour les paiements en ligne.

S’il n’existe aucune solution miracle pour empêcher le piratage de nos données en ligne, la multiplication des facteurs de sécurité permet néanmoins de significativement diminuer le risque mais aussi de limiter les dégâts en cas de piratage. Dans tous les cas, il s’agira de faire preuve de discernement, et surtout de réagir vite en cas d’intrusion avérée.

Promo
F-Secure TOTAL Sécurité...
  • Protection réseau et antivirus - Protection de la navigation web et des transactions bancaires
  • Trouvez votre téléphone - Protection de la famille
  • Confidentialité et protection - Accédez aux contenus géo-bloqués
  • Sécurité WiFi - Blocage du suivi indésirable