(par Federica De Stefani, avocate et directrice d'Aidr Regione Lombardia) En 2019, les données de plus de 500 millions d'utilisateurs enregistrés sur Facebook se sont retrouvées entre les mains de pirates informatiques: la violation de données a maintenant quelques années, mais l'inquiétude qu'elle suscite cette soustraction est extrêmement courante.
En effet, malgré le temps écoulé, ces données représentent toujours un danger réel et concret pour les sujets auxquels elles ont été volées car elles pourraient être utilisées à des fins illégales.
La violation, comme mentionné en 2019, a été causée par une faille dans le système de sécurité et la mise à disposition des données personnelles (y compris le nom et le prénom, l'adresse e-mail et le numéro de téléphone) de millions d'utilisateurs appartenant à différents pays.
Les données avaient circulé dans certains forums de hackers, Facebook avait déclaré avoir résolu le problème déjà en août de la même année et la fuite n'avait pas suscité une grande attention médiatique, probablement en raison de la difficulté avec laquelle les données proposées à la vente pouvaient être consultés et utilisés.
Plus tôt cette année, cependant, ces mêmes données ont été utilisées comme base de données pour un robot Telegram qui permettait, à des prix inférieurs et avec un système beaucoup plus facile à utiliser, de retracer le numéro jusqu'à l'ID de compte. Facebook en saisissant le numéro de mobile (et vice versa).
Ces dernières semaines, les données ont finalement été rendues publiques gratuitement à partir de plusieurs sources.
Il est évident, à ce stade, que le dommage a été fait, que les données ont été volées et sont (potentiellement) exposées à une utilisation illégale.
Alors que faire pour limiter autant que possible les éventuelles implications négatives?
Si la règle générale est de saisir le moins d'informations possible sur les réseaux sociaux, vous devez comprendre comment vous protéger là où, comme dans ce cas, la violation de données a déjà eu lieu et vous devez vous présenter pour vous mettre à l'abri.
Commençons par le type de données affectées par la violation.
Adresse e-mail et numéro de téléphone en premier lieu.
Il va sans dire qu'en ce qui concerne les boîtes e-mail, il est nécessaire de concentrer son attention sur les mots de passe, en les modifiant à l'aide de systèmes garantissant un haut niveau de sécurité.
Par conséquent, il est absolument interdit de créer des mots de passe contenant des informations personnelles, directement liées à la personne en question ou à des membres de sa famille, des animaux de compagnie ou des anniversaires, des surnoms, des équipes favorites ou des sports pratiqués.
Mieux vaut opter pour un système de "passphrase", qui permet de générer un code alphanumérique qui peut être lié à une phrase choisie par l'utilisateur et dont on se souvient facilement, ou un gestionnaire de mots de passe qui permet de générer des mots de passe avec un haut niveau de sécurité sans avoir à s'occuper personnellement de la mémorisation de la même chose.
Cela peut paraître évident, mais le mot de passe est la vulnérabilité à laquelle la majorité des gens sont encore le plus exposés aujourd'hui si l'on considère que selon les études les plus récentes les mots de passe les plus utilisés en 2020 étaient "123456", "password" et "qwerty" ( pour ces derniers, vérifiez la séquence des touches sur le clavier de n'importe quel pc).
Toujours en ce qui concerne les e-mails, il est essentiel de vérifier très attentivement l'expéditeur car très souvent les adresses utilisées pour les escroqueries sont similaires et peuvent être trompeuses, divergeant de l'original, peut-être pour un seul caractère. Il est donc nécessaire de vérifier attentivement l'adresse étendue, en faisant également attention au type de message reçu. Les demandes de données, d'accès aux liens, de téléchargement de pièces jointes doivent être traitées avec une extrême prudence, en effectuant un double contrôle préventif, peut-être en appelant l'expéditeur par un coup de téléphone pour vérifier la véracité du message et de la demande qu'il contient. Il est essentiel d'aborder avec la même méfiance même les demandes de données pouvant être contenues dans des SMS ou formulées verbalement par ceux qui vous contactent par téléphone.
En ce qui concerne le numéro de téléphone, cependant, il est essentiel de surveiller les anomalies constatées sur votre numéro de mobile.
En premier lieu, il est nécessaire que toute irrégularité dans le fonctionnement soit vérifiée par votre opérateur téléphonique, mais il est également essentiel de prêter attention à tous ces messages qui peuvent, d'une certaine manière, voler des données (supplémentaires) utiles aux criminels à réaliser leur intention, revenant encore une fois aux demandes de données personnelles, de codes d'authentification ou de mots de passe secrets pour l'activation de services spécifiques.
Il est également conseillé de supprimer de Facebook (et d'autres réseaux sociaux
network) votre numéro de téléphone, en utilisant d'autres méthodes d'authentification à deux facteurs, certainement pas du point de vue de la sécurité, mais à titre de prévention pour l'avenir.
Enfin, pour ceux qui souhaitent vérifier si leur email a fait l'objet d'une violation de données, pas forcément celle de Facebook, il est possible de consulter le site https://haveibeenpwned.com/ qui vous permet d'identifier d'éventuelles violations dans lesquelles votre l'adresse était le courrier impliqué.