Si cette newsletter ne s'affiche pas, vous pouvez la consulter en ligne
Nothing2Hide

Newsletter

6 avril 2021

Fuite de données

Rare image d'un hacker en flagrant délit de vol de données

Courant février, on apprenait que les données de près de 500 000 Français ont été dérobées auprès de laboratoires de biologie médicale. Panique générale…et surtout, une grande médiatisation. En cause, cela concerne directement des particuliers, et qui plus est, le domaine très intime de la santé. Surtout, ces données étaient en accès libre et gratuit, alors qu’il faut généralement payer pour les récupérer. Sans compter le contexte Covid qui exacerbe les préoccupations sanitaires.

Mais finalement, ça veut dire quoi, une fuite de données ?

Ce sont des données obtenues illégalement par le biais d’un défaut de sécurisation d’un ou de services, ou d’un acte d’intrusion ou de compromission volontaire de la part d’attaquants.

Il y a tout un tas de données personnelles qui peuvent être récoltées : adresses électroniques, mots de passe, adresses postales, noms complets, âges, données de cartes bancaires, numéro de sécurité sociale, réponses aux questions secrètes (nom de votre chien, nom de votre rue, etc.), ou encore les habitudes d’achat. Dans le cas de l’attaque envers les laboratoires, ont été volées le nom, le numéro de sécurité sociale, la date de naissance, les coordonnées du médecin du patient et dans la majorité des cas d’autres informations relatives à l’adresse, le mail, le téléphone et le groupe sanguin. Certaines informations médicales ont aussi été récupérées pour une partie des patients : grossesse, pathologie, ou antécédents notamment.

Ces données, une fois récoltées ou rachetées, servent pour tout un tas de choses plus ou moins bienveillantes. Plutôt moins, on ne vous le cache pas. La majeure partie du temps, l’attaquant est motivé par des raisons financières. Il attaque, récolte et revend ou rançonne ces données.

Que faire si je suis victime d’une fuite de données ?

Le plus souvent, vous n’êtes pas au courant directement. Très souvent, les affaires de fuite de données sortent dans les médias avant que l’éditeur du service ayant fuité ne vous ait contacté… S’il vous contacte. Ceci dit, avec le RGPD c’est désormais une obligation légale : tout responsable de traitement de données a 72h pour contacter ses utilisateurs en cas de fuite de données. En cas de retard, ce dernier devra le justifier.

Malheureusement bien souvent, c’est à vous de vous débrouiller et d’aller chercher l’information.

  • Il existe des sites qui vous permettent de vérifier si votre adresse mail a été récupérée, le plus connu étant Have I been Pwned. Il vous indique également quand et via quel service vous avait fait l’objet d’une attaque.
  • Vous pouvez aussi utiliser un site de veille qui avertit si vos données circulent est aussi une solution. Parmi eux : Zataz et We leak Info.
  • Il est également possible de porter plainte auprès de la CNIL, et directement auprès des gendarmeries et commissariats.
  • Aussi, signalez cette fuite auprès de Pharos, la plateforme du gouvernement qui répertorie tous les contenus ou comportements illicites.

Dans tous les cas, si vous apprenez que vous avez été victime d’une fuite de données, la première chose à faire est de changer le mot de passe du service concerné, ainsi que de tous ceux pour lesquels vous utiliseriez le même (même si c’est une TRÈS mauvaise idée). Utilisez d’ailleurs une phrase de passe bien plus efficace et - on n’insistera jamais assez - une phrase de passe différente par service. Évitez les titres de films ou de chansons ou même les paroles, très peu résistants aux attaques dites par dictionnaire.

Vous voilà paré.e pour gérer une fuite de données de l’un de vos services, chose qu’on ne vous souhaite évidemment pas. Heureusement, ça n’arrive pas tout le temps !

⇩⇩⇩⇩⇩⇩⇩⇩⇩⇩⇩⇩ OH WAIT… ⇩⇩⇩⇩⇩⇩⇩⇩⇩⇩⇩⇩

Revue de presse

  • Facebook nous permet d’illustrer à la perfection ce qu’on vient de vous raconter puisque le réseau social a été victime dune énorme fuite : les données personnelles de plusieurs centaines de millions d’utilisateurs ont été dérobées à Facebook et mises en ligne tout récemment. Numéros de téléphone, identifiants Facebook, noms complets, lieux de résidence, dates de naissance, biographies… Puisqu’on vous dit que donner ses informations personnelles à Facebook est une mauvaise idée ! Plus largement, publier ses informations personnelles lorsque ce n’est pas nécessaire (et ce n’est pas nécessaire sur Facebook) est toujours une mauvaise idée.
  • Le Sénat a adopté en première lecture et en procédure accélérée un amendement présenté par le gouvernement visant à rendre les mesures de contournement de blocage de sites plus compliquées à mettre en œuvre. En quelques mots techniques, le gouvernement souhaite rendre impossible des mesures aussi simples qu’un changement de DNS ou l’activation de DNS Over HTTPS dans les navigateurs. Comme toute mesure visant à améliorer les dispositifs techniques de censure, cette nouvelle disposition nuira avant tout à la vie privée des citoyens et - à plus long terme - à l’accès a l’information
  • On ne peut que vous inciter à écouter le dernier podcast de La Série Documentaire sur la surveillance numérique. Dans l’épisode 4 vous retrouverez entre autres Jean-Marc B. de Nothing2Hide expliquer de sa voix suave notre action auprès des journalistes et militants.
  • Au passage, puisqu’on parle de Facebook, on en profite pour vous rappeler l’existence d’une de nos fiches pédagogiques sur le sujet : Qui veut donner ses données, un atelier ludique et collectif qui permettra aux participants d’exercer leur sens critique quant aux renseignements demandés par certains services en ligne et de les sensibiliser à la protection des données personnelles.
  • Toutes nos fiches pédagogiques sont d’ailleurs accessibles gratuitement en ligne sous licence Creative Commons, alors n’hésitez pas à les utiliser et les partager ! (pas comme vos données personnelles)
  • Mieux vaut tard que jamais : après 6 mois à traîner sur le bureau de notre premier ministre Jean Castex, l’agrément d’Anticor lui permettant d’intervenir dans des procès majeurs impliquant des actes de corruption a enfin été renouvelé ! On vous invite à relayer largement la tribune que nous avons co-signée avec plus de 40 associations en soutien d’Anticor qui réalise un travail essentiel dans la lutte anti-corruption.
  • Tips du moi, trouvé chez @sebsauvage : pour retrouver votre téléphone, Google vous propose son système intégré à Android. Celui-ci fonctionne parfaitement (bah oui c’est googleu) mais cela implique d’avoir de la data 4G et d’activer le GPS. Avec l’application Find My Device (téléchargeable sur Fdroid, une alternative au Play Store de Google) plus besoin ni de Google (OUAIS !) ni de data : un simple envoi de SMS sur votre téléphone déclenchera une action. Par exemple: fmd locate vous retournera par SMS la géolocalisation de celui-ci ainsi que des données techniques ; fmd ring: fera sonner votre téléphone. Pour tout savoir sur cette application dégoogeulisante, c’est ici.

A venir dans Nothing2Hide

Ce mois-ci pas d’événement ouvert, mais on reste assez occupés entre une formation d’une dizaine de jours pour des médias Burundais en exil et une intervention auprès de futurs journalistes à l’école W. Cette dernière sera d’ailleurs l’occasion d’accueillir de nouveaux formateurs et formatrices au sein de Nothing2Hide. On en reparlera en mai (car on fait bien ce qu’il nous plaît). On vous rappelle que pour les journalistes indépendants, les militants et les activistes, on trouvera toujours le temps et notre session est toujours ouverte. C’est pour cette raison que nous avons monté Tech4Press notre service d’assistance ouvert 24h sur 24 (ou presque). Si vous avez besoin d’assistance, n’hésitez pas à nous contacter ! Réponse dans les 8h (ou presque).

À propos de Nothing2Hide

Nothing2Hide (N2H) est une association qui s’est donnée comme objectif de fournir aux journalistes, avocats, militants des droits humains et “simples” citoyens les moyens de protéger leurs données et leurs communications, en leur apportant des solutions techniques et des formations adaptées à chaque contexte. Notre vision est de mettre la technologie au service de la diffusion et de la protection de l’information afin de renforcer les démocraties partout dans le monde.

Vous avez envie d’agir ?

Soutenez-nous ! Parce que la protection de l’information et de la vie privée sont des éléments essentiels pour garantir la liberté d’expression, soutenez les actions de Nothing2Hide en donnant 10€ ou plus par mois (seulement 3,40€ après déduction fiscale).

Je fais un don

Vous n'êtes pas déjà inscrit.e à notre newsletter ? Kesskeussékeusseubordayle ?

Je m'inscris à la newsletter