- Partagez
-
-
En automne 2024, des dizaines d’enseignes françaises ont vu leurs bases de données en vente ou en partage libre sur des forums cybercriminels, impactant des millions de français. Des fuites de données d’une valeur inestimable pour les acteurs malveillants, qui se sont empressés de les utiliser – pourtant, aucune n’a dévoilé de mot de passe. Quelle est la valeur réelle de nos données volées ?
Les fuites de données : un fléau en constante progression
L’écosystème cybercriminel ne cesse d’évoluer et de s’adapter. Si l’attrait pour le mot de passe n’est pas mort (loin de là, comme nous le verrons plus bas), la valeur des données personnelles telles que l’adresse postale, le numéro de téléphone ou encore la date de naissance ne cesse de croître.
Selon nos observations, cela est notamment dû au développement de nouveaux types de fraude, qui ne reposent pas uniquement sur l’accès au compte d’une victime mais sur les données annexes afin de permettre un meilleur ciblage et ainsi gagner en crédibilité.
Et pour cause : un e-mail ou un SMS de phishing attirera bien plus notre attention s'il contient une information que personne n'est censé connaître, comme notre banque, le nom de notre rue, le modèle de notre véhicule, voire sa plaque d’immatriculation. Malheureusement, ces données sont justement de plus en plus partagées sur les forums cybercriminels.
Prenons en exemple la disponibilité de numéros de téléphone et d’adresses de domicile dans les fuites de données sur des espaces cybercriminels. Selon les observations de nos experts :
• Ces données sont deux fois plus présentes en 2024 qu’en 2023
• C’était déjà le cas entre 2023 et 2022, nous avons donc une multiplication par 4 en 2 ans
• Enfin, il y a déjà eu plus de bases avec des numéros de téléphone partagées sur les 2 premiers mois de 2025 qu’entre les années 2020 et 2022 cumulées.
A titre indicatif, à la publication de cet article, ce sont déjà plus de 2 millions de numéros de téléphone mobile français qui ont été dévoilés - sans compter les bases plus anciennes qui sont inlassablement partagées.
Voyons à présent quelques scénarios d’attaque sur la base de données personnelles.
Que peut-on faire avec mon adresse de domicile trouvée dans des fuites de données ?
En couplant cette information à d’autres recherches, comme les photos de vacances ou les annonces de voyage sur les réseaux sociaux, des acteurs malveillants peuvent déterminer quand le domicile est inhabité afin de commettre un cambriolage. Nous pouvons citer plusieurs exemples : un dirigeant en voyage d’affaires, un membre de COMEX en voyage familial, une célébrité en concert à l’étranger, un sportif jouant un match, etc.
La fraude au coursier, qui consiste à entrer physiquement en contact avec la victime pour lui dérober ses informations bancaires telles sa carte et son code, utilise également l’adresse pour localiser la victime, bien souvent couplée du numéro de téléphone pour une alerte initiale.
Ci-dessus : Une annonce pour la vente d’un fichier de données personnelles de “42 000 riches belges”
Que peut-on faire avec mon numéro de téléphone présent dans des fuites de données ?
Le phishing par SMS, appelé smishing, est particulièrement redoutable car la victime a moins de moyens de contrôle que sur un ordinateur : pas de solution de protection comme un antivirus, une lisibilité moindre sur un petit écran et un manque de méfiance dû à l’habitude de recevoir des SMS automatiques (publicité, code d’authentification, etc.).
Pour le reste, il vous suffit de consulter votre liste d’appels aujourd’hui : une bonne partie des appels frauduleux a pour origine une fuite de données qui a dévoilé votre numéro.
Ci-dessous : Un partage de numéros français accompagnés d’adresses postales
Que peut-on faire avec mon IBAN visible dans des fuites de données ?
Plusieurs utilisateurs ont rapporté des arnaques sur la base d’informations crédibles comme le nom de leur banque, leur e-mail et leur nom/prénom. Le principe est simple : envoyer un e-mail sous couvert d’une souscription à un service, par exemple une offre promotionnelle en collaboration avec la (bonne) banque.
A partir de là, le choix est multiple : rediriger la victime sur un site de phishing pour dérober ses identifiants, l’inciter à donner ses coordonnées bancaires pour bénéficier d’une offre de remboursement (plus c'est osé, plus ça fonctionne), envoyer en pièce jointe une facture qui contient un logiciel malveillant, etc.
Cette liste non exhaustive montre comment les cybercriminels exploitent des données précises pour rendre leurs fraudes plus crédibles grâce à la personnalisation des messages.
Nous remarquerons également que ces données peuvent se suffire à elles-mêmes ou être couplées à d’autres recherches pour compléter un profil.
Enfin, les offres sur les forums cybercriminels montre également une professionnalisation de la recherche de données personnelles de contact, sans mot de passe, des “leads” dans le vocabulaire cybercriminel - inspiré des “leads” de la terminologie marketing (“piste de vente” en français ).
Ci-dessous : Là encore, aucun mot de passe pour la vente de cette base
Pourquoi les mots de passe sont rares dans les fuites de données ?
Aujourd’hui, les bonnes pratiques d’administration de site Web imposent une meilleure sécurité du stockage de mots de passe : en d’autres termes, ces derniers sont majoritairement chiffrés, impossibles à “casser”.
Alors fini, l’intérêt pour le mot de passe ? Non. Ironiquement, nous n’avons jamais observé une telle prolifération de mots de passe en clair sur les plateformes cybercriminelles.
Mais cette tendance n’est pas due au piratage de bases de données : les responsables sont les infostealers, ces logiciels voleurs de données qui siphonnent le contenu des informations sauvegardées dans les navigateurs de victimes. Mais ça, c’est une autre histoire.
Ainsi, les fuites de données ne se limitent plus aux identifiants et mots de passe. Nos informations personnelles deviennent des outils puissants pour les cybercriminels. Il est crucial d’adopter de bonnes pratiques de cybersécurité, de surveiller son exposition en ligne et de corriger ses vulnérabilités humaines identifiées. Dans un prochain article, nous explorerons comment les infostealers contribuent à la prolifération des mots de passe sur les plateformes cybercriminelles.
Téléchargez notre E-book : Deepfake, la nouvelle arme de destruction massive !
Ces articles peuvent aussi vous interesser
Fuites de données : pourquoi vos informations personnelles sont tout aussi importantes que vos mots de passe
En automne 2024, des dizaines d’enseignes françaises ont vu leurs bases de ...
Comment reprendre le contrôle sur ses données personnelles
À chaque inscription sur une plateforme de médias sociaux ou achat en ...
« Je n’ai rien à cacher » mais vous risquez tout !
Qui n’a jamais remarqué, dans le train ou l’avion, un ordinateur laissé ...
