Vérifiez que vous n’y figurez pas : Découverte d’un mégafichier pirate sur 1,2 milliard d’internautes

Un mégafichier pirate contenant les données personnelles de 1,2 milliard d’internautes a été découvert par un chercheur en sécurité informatique. Cette immense base de données abrite des liens vers des millions de comptes Facebook et Twitter, ainsi que des numéros de téléphones associés. On vous explique comment vérifier si vous êtes dans la liste ou non.

Ce mégafichier était là, sous notre nez. Le chercheur en sécurité informatique Vinny Troia est tombé dessus en naviguant sur Shodan, un moteur de recherche dédié à l’internet des objets (The internet of things). La taille du document est colossale : près de 4 téraoctets de données personnelles sur 1,2 milliard d’internautes.

Vinny Troia a pris le temps de survoler ce mégafichier. Aucun identifiant, ni mots de passe, ou coordonnées bancaires n’y est inscrit. En revanche, cette gigantesque base de données contient des millions de liens vers des comptes Facebook et Twitter, ainsi que les numéros de téléphone associés à ces comptes. Problème, ces profils d’utilisateurs et ces coordonnées téléphoniques peuvent facilement être détournés par des pirates, notamment pour lancer de vastes opérations de phishing.

À l’instar des hackers derrière l’arnaque des faux bons d’achats Auchan ou Carrefour, les pirates en possession de ces données pourront vous contacter sans difficulté via de fausses annonces publicitaires, ou via de faux formulaires pour des pseudos enquêtes de satisfaction. Le but de la manœuvre est de récupérer une ou plusieurs réponses à vos questions de sécurité, pour ensuite accéder à vos différents comptes disponibles en ligne.

D’où vient ce mégafichier ?

Selon Vinny Troia, toutes ces informations personnelles ont pu être glanées via des fichiers de data broker ou autrement dit des vendeurs de données de consommateurs. Ces sociétés vendent des données récupérées sur le net aux clients les plus offrants. Très souvent, les entreprises exploitent ces renseignements pour faire de la publicité ciblée par exemple.

Après avoir mené des recherches, l’expert en cybersécurité a découvert que l’une de ces sociétés de courtiers était basée à San-Francisco. Cette compagnie, appelée People Data Labs, serait en possession de données concernant près d’un milliard de personnes. Adresses mail, profils LinkedIn, comptes Facebook et Twitter, les sources d’information sont nombreuses. Pour l’heure, impossible de savoir comment ce fichier s’est retrouvé sur la toile. Pour Vinny Troia, il est clair que l’une de ces sociétés de courtiers a été victime d’une faille de sécurité.

Comment vérifier si vous êtes concernés ?

Il existe une solution pour savoir si vos données personnelles sont contenues dans ce mégafichier. Il suffit de se rendre sur le site HaveIBeenpwned (Est-ce que je me suis fait avoir ? en français). Ce site recense depuis plusieurs années l’ensemble des sites internet qui ont été piratés, et dont les données ont été diffusées sur la toile. Si un site possédait des informations à votre sujet et qu’il a été hacké, HaveIBeenPwned le sait.

Pour vérifier si vos données ont été ou non compromises, tapez votre adresse mail dans la barre de recherche sur le site HaveIBeenPwned. il n’y aura que deux issues :

• Good news – no pwnage found : vous pouvez souffler, tout va bien
• Oh non – pwned ! : Vos données ont été compromises et il est impératif de changer les mots de passe des différents comptes liés à votre adresse-mail

HaveIBeenpwned vous précise d’ailleurs depuis quels sites vos informations ont été volées. Pour l’heure HaveIBeenPwned a recensé les fuites de 416 sites internet et de plus de 9 millions de comptes.

Source : Wired