12.10.2021 - La semaine dernière, le NCSC a encore reçu un nombre modéré d'annonces. Une fuite de données provenant d'une plateforme de streaming vidéo victime d'un piratage démontre, une fois de plus, que les données sensibles stockées sur Internet peuvent rapidement être rendues publiques. Le deuxième cas annoncé montre avec quelle facilité les escrocs parviennent à faire main basse sur l'argent de leurs victimes au moyen des solutions de paiement électroniques.
Vol de données sur Internet: l'exemple d'une plateforme de streaming vidéo
Twitch est un des plus importants services de streaming dans le domaine des jeux vidéos. Outre les diffusions en direct, la plateforme possède une communauté très active, ce qui donne lieu à de nombreux échanges entre les utilisateurs. La semaine dernière, il a été annoncé que des pirates étaient parvenus à s'introduire dans les systèmes de Twitch et avaient, entre autres, subtilisé les données personnelles des utilisateurs ainsi que l'ensemble des messages échangés par la communauté depuis l'ouverture de la plateforme. Celle-ci a conseillé aux utilisateurs de modifier leur mot de passe. Il leur a également été recommandé d'activer l'authentification à deux facteurs (two-factor authentication) afin d'augmenter la sécurité de leur compte. Ce mécanisme d'authentification consiste à saisir un code envoyé par SMS ou par courriel, en plus du nom d'utilisateur et du mot de passe.
Ces mesures ne changeront cependant rien au fait que les données des utilisateurs sont à présent accessibles librement à tout un chacun sur le darknet. Ainsi, tous les commentaires postés sur la plateforme, y compris ceux qui n'étaient à l'origine visibles que par un cercle restreint, sont désormais en libre accès. Dès qu'une personne est identifiée, il est possible d'utiliser les informations rendues publiques pour établir son profil et voir ce qu'elle a échangé et avec qui, ce parfois dans un contexte confidentiel. Un utilisateur de Twitch a contacté le NCSC et demandé s'il existait un moyen d'effacer ses données. Malheureusement, cela est pratiquement impossible.
Cet incident n'est pas un cas isolé: on fait déjà état de plusieurs centaines de fuites de données de ce type et tout utilisateur risque tôt ou tard d'être victime d'un tel vol. Chaque enregistrement de données sur le web augmente un peu plus la probabilité que cela se produise.
- Soyez conscients que même des données classifiées «privé» peuvent être publiées lors d'un vol de données. Prenez le temps de vous demander quelles conséquences cela aurait pour vous.
- Sur Internet, utilisez un pseudonyme et, si possible, une adresse électronique spécifiquement prévue à cet effet.
- Utilisez pour chaque service en ligne un mot de passe différent et, dès que c'est possible, activez l'authentification à deux facteurs.
- N'acceptez pas que les services en ligne enregistrent les données de votre carte de crédit.
- Ne versez pas d'argent à des personnes qui affirment pouvoir supprimer les données publiées.
Mode opératoire astucieux pour la fraude téléphonique
Parmi nos contemporains, les escrocs font partie des plus innovants qui soient. Dès qu'une nouvelle technologie ou qu'un nouveau service est proposé, nul besoin d'attendre longtemps pour que ceux-ci inventent des histoires ingénieuses dans le but de piéger les utilisateurs.
Les solutions de paiement électroniques (Pay Services) proposées par les entreprises de téléphonie existent depuis de nombreuses années. Elles permettent d'acheter en ligne certains services et produits, et de comptabiliser ces achats sur la facture de téléphone. Cette méthode de paiement est également utilisée par diverses boutiques en ligne. Pour qu'un achat ne soit accessible qu'aux personnes autorisées, un code PIN créé séparément doit à chaque fois être utilisé; dans le cas d'un paiement par l'intermédiaire d'une entreprise de téléphonie, ce code est envoyé à l'acheteur par SMS. Il s'agit d'une aubaine pour les escrocs, car les solutions de paiement électroniques peuvent être utilisées anonymement et en ligne. C'est ce qu'illustre le cas dont a été informé le NCSC la semaine dernière.
La victime a reçu un appel WhatsApp de ce qui semblait être son opérateur téléphonique. La personne au bout du fil expliqua qu'elle procédait à une vérification après avoir constaté une irrégularité sur la facture de téléphone. La victime devait ensuite lire à haute voix un code à quatre chiffres en guise de confirmation. Il s'agissait en vérité d'un code PIN, nécessaire pour procéder à un achat sur une boutique en ligne. Après que la victime avait énoncé le code, les escrocs pouvaient effectuer des achats sur la boutique en question. La personne ciblée s'étant aperçue relativement vite de la supercherie, elle a été en mesure de bloquer sa solution de paiement électronique; quelques cartes-cadeaux avaient cependant déjà pu être achetées par les escrocs.
Les escrocs avaient utilisé des données de la victime accessibles sur le web (y compris, apparemment, des données concernant son opérateur téléphonique) pour inventer une histoire susceptible d'être considérée comme crédible.
- Méfiez-vous toujours lorsque vous recevez un appel ou un message d'une personne qui exige quelque chose de vous.
- Ne vous laissez jamais mettre sous pression.
- Dès que vous vous rendez compte que vous avez été victime d'une escroquerie, informez l'exploitant de la boutique en ligne et votre opérateur téléphonique. Portez plainte auprès de la police.
- Désactivez ce type de services lorsque vous ne les utilisez pas.
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 12.10.2021
