L’année 2022 s’est révélée très lucrative pour les hackers, avec des piratages à répétition du gestionnaire de mots de passe LastPass – les pirates ont même mis la main sur le contenu des coffres –, de La Poste Mobile, de la Nintendo Switch ou des Google Home – et ce n’est qu’un échantillon. Et 2023 semble continuer dans la même veine ! En effet, Deezer, qui est une des plus importantes plateformes de streaming de musique au monde, a été victime d’une fuite de données en… 2019. Et, aujourd’hui, les données que le criminel a volées sont en libre circulation sur le Dark Web. Celles-ci « étaient déjà en vente depuis longtemps dans des espaces privés » de pirates, « on en entendait parler » de manière indirecte, explique Damien Bancal, un journaliste pour le site cybersécurité Zataz, au Parisien. C’est le 23 décembre, soit plus de trois ans après le vol, que le fichier[2] a été rendu accessible gratuitement sur un site facilement accessible et bien connu des pirates.
Piratage Deezer : une fuite qui remonte à 2019
La fuite massive de données a eu lieu en 2019 suite à une erreur d’un partenaire de Deezer – avec qui la firme a cessé toute collaboration en 2020 – quant à la configuration d’un espace de stockage. Sur son site, elle promet que « les systèmes de sécurité de Deezer restent efficaces, et nos propres bases de données sont fiables et sécurisées. » Le hacker, bien connu par la communauté des pirates sous le nom de Péché, est parvenu à s’infiltrer par l’intermédiaire d’une attaque de l’homme du milieu (man-in-the-middle attack) – une attaque qui a pour but d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre puisse se douter que le canal de communication entre elles a été compromis. Il a pu récupérer un total de 260 Go de données, comme a pu le constater Zataz.
Ces données comprennent notamment les noms et prénoms des utilisateurs, leurs dates de naissance, leurs adresses électroniques et IP, leur sexe, leurs données de localisation, la date d’adhésion et l’ID unique attribué à chaque compte. Deezer affirme qu’aucun mot de passe[1] ou donnée de paiement n’a été dérobé. En novembre 2022, l’entreprise a averti la Commission nationale de l’informatique et des libertés (CNIL) et travaille vraisemblablement « en étroite collaboration » avec l’organisme de surveillance. Elle s’efforce désormais de prévenir les 46,2 millions d’utilisateurs français qui ont été touchés par la faille. « Nous sommes en train de contacter par e-mail[3] les utilisateurs concernés afin de les sensibiliser aux risques de phishing[4] (hameçonnage) et de les encourager à faire preuve de vigilance« , explique-t-elle. On peut en effet craindre que des personnes malveillantes puissent se servir d’informations personnelles pour gagner la confiance de leurs cibles.
Par mesure de précaution, Deezer recommande à tous ses utilisateurs de changer leur mot de passe[1]. Il les encourage également à consulter le site du ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique. En tout cas, la nouvelle tombe vraiment mal pour la plateforme française, qui connait actuellement quelques difficultés financières et tente de revoir sa stratégie.
A chaque compte que vous créerez en ligne (sur le site de votre banque, sur une boutique en ligne, pour lire vos mails…) vous aurez besoin de créer un mot de passe.
Ne mettez jamais votre date d’anniversaire, le nom de votre chien ou de votre fils. Cela est trop facile à deviner. Optez pour un mot de passe combinant des chiffres et des lettres, et essayez de ne pas avoir le même mot de passe pour chaque compte utilisateur.
Plus le mot de passe est fort, plus il sera difficile à deviner.
Quand vous tapez un mot de passe sur Internet, il ne sera pas affiché, pour chaque caractère tapé, des points seront affichés, afin de garantir la confidentialité de celui-ci.
Le nom d’utilisateur est affiché en clair, le mot de passe est caché
Quand vous créez un document texte avec Word et que vous l’enregistrez, cela va créer un fichier informatique dans votre ordinateur, que vous pourrez stocker dans un dossier. Un fichier peut facilement être dupliqué, déplacé, copié sur une Clé USB, ou envoyé à un collègue par mail.
Lorsque vous supprimez un fichier, il est envoyé vers la corbeille, et sera récupérable si vous changez d’avis tant que vous ne videz pas cette dernière.
Le courrier électronique est devenu le moyen de communication le plus utilisé dans le monde. Chaque jour plusieurs milliards d’e-mails sont envoyés dans le monde. Il est très facile de créer son adresse e-mail gratuitement, puis de commencer à envoyer des messages à ses proches. Chaque adresse e-mail est composée d’un arobase.
Voici l’interface graphique du webmail de Google, Gmail, pour consulter ses messages et en écrire :
Il faut être très attentif au phishing et observer quelques règles simples afin de ne pas sombrer dans la crédulité. Fiez-vous à votre instinct et ne prenez pas de risque. Ne croyez pas automatiquement des messages du genre : vous avez gagné, votre ordinateur a un virus, votre banque vous redemande votre mot de passe
Pourquoi ?
- Généralement sur Internet, il y a parfois des publicités vous indiquant que vous avez gagné, ce qui n’est pas vrai. Ne tombez pas dans le panneau. Dans le doute, n’y allez pas.
- Vous aurez aussi parfois des pubs imitant la fenêtre windows, indiquant que vous êtes infecté. Ce n’est pas une pub sur Internet qui doit vous avertir de ça, mais votre ordinateur, ne cliquez donc pas !
- Votre banque ne vous redemandera jamais votre mot de passe. Elle l’a, c’est donc une autre personne, malveillante, qui cherche à obtenir vos informations.
Un seul mot d’ordre : restez vigilants, et dans le doute, ne cliquez pas !
