Fuites de données massives : pourquoi le pire reste à venir

De grands groupes français ont subi des cyberattaques au second semestre 2024, résultant en de massives fuites de données clients. Les victimes sont inquiètes, et le pire pourrait être à venir.

En cette fin d'année, des dizaines de grands groupes français ont été victimes de cyberattaques, résultant en une cascade de fuites de données clients. Une étude Mailinblack indique que les emails contenant des demandes de changement de coordonnées bancaires non légitimes sont en augmentation de 48% sur septembre, tendance qui se poursuit en octobre avec une nouvelle augmentation de 28%. Si les conséquences de certaines fuites se font déjà ressentir, d’autres pourraient être à retardement.

Une déferlante de fuites de données secoue les géants français

Au cours des dernières semaines, une série de cyberattaques sans précédent a frappé de nombreuses entreprises françaises, exposant les données personnelles de millions de clients. L’attaque contre Free a compromis les données personnelles de plus de 19 millions d'abonnés : noms, prénoms, dates et lieux de naissance, adresses e-mail et postales, numéros de téléphone, identifiants d'abonnés et données contractuelles ont été dérobés. Les IBAN de 5,11 millions d'abonnés ont été compromis.

Sofinco a également été victime d’une fuite de données qui a concerné environ 11 millions de clients dont les coordonnées postales, téléphoniques, informations bancaires et copies de pièces d'identité ont été dérobées. D'autres organisations comme SFR, Boulanger, Cultura, Truffaut, MeilleurTaux, Grosbill et la Caisse nationale d'Assurance Vieillesse ont également signalé des fuites de données au cours du mois d'octobre. 

Des millions de victimes désemparées et vulnérables

Armés d'informations personnelles dérobées, les cybercriminels peuvent effectuer des transactions bancaires frauduleuses, orchestrer des fraudes au président (usurpation de l'identité d’un dirigeant pour pousser les employés à, par exemple, effectuer des paiements), et diffuser des attaques de phishing (aussi appelé hameçonnage). Ces attaques visent à installer des logiciels malveillants ou à soutirer davantage d'informations sensibles aux victimes en les incitant à cliquer sur des liens sous prétexte d’une fausse livraison de colis ou d’un faux gain à un jeu concours. 

En possession de copies de pièces d'identité, les hackeurs peuvent également se faire passer pour leurs victimes, ouvrant la voie à une cascade de fraudes potentielles telles que l'ouverture de comptes bancaires ou la souscription de crédits. Pour les clients d'opérateurs téléphoniques, le risque de SIM Swapping, une technique permettant aux malfaiteurs de prendre le contrôle du numéro de téléphone de la victime, s’amplifie. Cette technique compromet non seulement la sécurité des communications, mais aussi celle de nombreux comptes en ligne utilisant l'authentification par SMS, créant ainsi un effet domino. D'autres risques non négligeables incluent l'atteinte à l'image ou à la réputation, le cyber-harcèlement, le piratage de comptes en ligne, l'extorsion, etc. 

Devenir acteur de sa cybersécurité

La première ligne de défense pour les victimes de fuite de données consiste à développer un réflexe de méfiance : tout appel téléphonique, email ou SMS sollicitant des informations personnelles doit être systématiquement authentifié et vérifié. Lorsqu'un IBAN a été dérobé, la réactivité est cruciale. Il faut informer immédiatement sa banque pour un suivi renforcé et une surveillance active des transactions, et vérifier quotidiennement ses comptes bancaires. De même, face au risque de SIM Swapping, une attention doit être portée à tout dysfonctionnement d'accès au réseau mobile. 

Pour limiter durablement les risques, quelques principes simples, mais essentiels, doivent être adoptés, comme l’utilisation d’un gestionnaire qui sécurise et génère des mots de passe robustes, et privilégier les authentifications multifacteurs. 

En cas de suspicion de fraude, plusieurs actions sont possibles : porter plainte auprès des autorités compétentes (commissariat, gendarmerie) pour utilisation frauduleuse de données personnelles, et engager une procédure auprès de la CNIL contre l'entreprise ayant insuffisamment protégé les informations. 

La surveillance doit être maintenue sur le long terme car les données dérobées ne sont pas toujours utilisées directement à la suite d’une fuite. Il est possible qu’elles mettent plusieurs semaines, voire plusieurs mois, à être vendues sur le darknet. Cela peut donner un faux sentiment de réassurance à certaines victimes, qui relâchent leur vigilance et finissent par se faire piéger.