Commentaires : Après les fuites chez Free et SFR, comment éviter l'usurpation d'identité?

Les récentes cyberattaques subies par les opérateurs télécoms Free et SFR rappellent une nouvelle fois la nécessité de protéger nos données personnelles. Lors de ces incidents, des informations sensibles, notamment les coordonnées bancaires de nombreux clients, ont été compromises, posant un réel risque de fraudes financières.

Alors faire attention pour éviter un piratage du côté du client, ou détecter une fois que c’est fait, ok. Mais le titre laisse croire qu’il y a des solutions pour éviter que les données volées ne servent à monter un dossier de financement frauduleux par exemple, et l’article n’apporte aucune réponse. Et pour cause : on ne peut rien faire à part attendre de voir si on fait partie des heureux élus.
Dans le contexte du piratage des opérateurs telecom cités, je suis désolé mais cet article ne sert à rien :nerd_face:

11 « J'aime »

La seule personne contre laquelle je dois lutter, c’est moi-même avec mes oublis de mots de passe assez fréquents. On me demande souvent si c’est bien moi qui suis à l’origine de la tentative de telle ou telle connexion. Heureusement qu’il y a la double authentification parce que je me retrouve toujours bloqué sur mes propres comptes. :slight_smile:

Et puis enfin, mes adresses et coordonnées diverses sont déjà enregistrées depuis des années sur toujours les mêmes sites que je visite.

1 « J'aime »

Ce qui est inquiétant, ce sont les données stockées « hors du PC », les adresses postales, IBAN, N° de sécu…
J’ai l’impression que rien n’est chiffré, en cas de compromission, tout est lisible sans problème par les personnes malveillantes.
Du coup ce ne sont pas les softs installés sur mon PC qui changeront grand chose.
Cela-dit il est important de protéger son PC et de ne pas avoir le « clic compulsif ».

1 « J'aime »

Ces compromissions ne prouvent pas que les données ne sont pas chiffrées.

Simplement, le chiffrement n’est pas la solution pour les protéger dans ce cas.

Les données en question, si Free les stocke, c’est bien parce qu’il en a besoin. Il doit pouvoir éditer des factures avec ton nom et ton adresse dessus, il doit pouvoir connaître ton e-mail pour t’envoyer des messages, il doit connaître ton IBAN pour faire des prélèvements dessus… Même s’il stocke ces données en les chiffrant, il a forcément la clé de déchiffrement.

Et donc le pirate qui arrive à s’introduire dans les systèmes de Free, il peut aussi voler la clé pour les déchiffrer.

L’intérêt du chiffrement pour les données c’est surtout :

  • de se protéger contre une fuite en cas d’accès à des supports de stockage décommissionnés,
  • de se protéger contre une interception pendant le transfert (HTTPS et cie…),
  • de protéger des données qu’on stocke chez quelqu’un qui n’a pas besoin d’accéder à ces données (stockage de données en ligne, mail sécurisé, etc…).

Mais quand quelqu’un doit légitimement pouvoir accéder à des données, tu peux les chiffrer autant que tu veux à toutes les étapes, il faut forcément qu’il ait la clé pour déchiffrer, et donc en cas de compromission la clé peut être compromise aussi.

C’est d’ailleurs pareil avec le chiffrement local de tes données sur ton PC. C’est bien pour les protéger dans le cas où tu perdrais ou revendrai ton PC. Ça ne t’apporte par contre à peu près aucune protection en cas d’infection de ton PC par un malware.

Si, à faire des clics, donc du fric. :hot_face:

Bonjour, il y a pourtant une solution très peu connue pour parer tous prélèvements frauduleux.
Chacun et chacune d’entre-nous peut mettre en place une « liste blanche » SEPA auprès de sa ou ses banques. C’est un outils qui interdit tous les prélèvements, hormis ceux des organismes que vous voulez autoriser. C’est un peu fastidieux à mettre en place car les banques, pour une raison que j’ignore ne facilitent pas cette méthode. Pour cela, il faut fournir le numéro ICS (Identifiant Créancier SEPA) de chaque entités autorisées à prélever à votre banque. Il faut demander un mandat de prélèvement SEPA à votre organisme, le numéro ICS y figurera.
La seule chose à faire attention , c’est de bien veiller à mettre à jour votre liste blanche quand vous changer de fournisseur, ou si vous souscrivez chez un nouveau prestataire ; auquel cas si le prélèvement se présente il sera automatiquement rejeté.
(ps : pensez à rajouter l’ICS des impôts)

Bonjour, ce n’est pas par défaut ?
Sur mon appli, j’ai une liste de débiteurs, avec leur iban. Si c’est moi qui ait validé le prélèvement, c’est ok. Mais si c’est un nouveau prélèvement, l’appli me demande systématiquement de valider.

Pour moi, ça n’est pas défaut, c’est bien le problème.
Par harsard, vous ne confondriez pas avec les virements où là on rentre l’iban du bénéficiaire?. Sauf erreur de ma part, il n’y a pas de numéro iban sur un mandat SEPA pour un prélèvement. Maintenant je ne suis pas un spécialiste.

Tout a fait, on ne connait pas l’IBAN de celui qui prélève, on connait seulement la référence de mandat (une chaîne de caractères, à fixée par le débiteur avec pas mal de liberté, perso j’ai des formats très différents d’un débiteur à l’autre) et l’identifiant d’émetteur (un code pays sur deux lettres, puis un identifiant alphanumérique).

Mais on peut éventuellement confondre l’identifiant d’émetteur avec un IBAN, avec le code pays au début ça y ressemble un peu).