Dès qu’une personne réalise une action sur internet, elle laisse des traces. Une multitude d’informations sur les comportements, les goûts, les habitudes, etc. Les comptes de réseaux sociaux, les identifiants biométriques, les noms d'utilisateur et les mots de passe sont un vrai eldorado pour un cybercriminel. Entre de mauvaises mains, ces données peuvent être exploitées pour atteindre les collaborateurs ou atteindre l'entreprise.
Quand on sait que :
• 2 dirigeants sur 3 ont un compte personnel ouvert publiquement.
• 50% des dirigeants ont déjà vu l’un de leurs mots de passe fuiter sur le dark web
• 80% utilise le même mot de passe pour 4 à 5 comptes différents
(Données ANOZR WAY)
Il est important de savoir d’où vient le danger et comment s’en prémunir.
L'empreinte numérique, ou ombre numérique, ou empreinte électronique, représente l’ensemble des informations laissées sur Internet : un like sous une publication, une inscription sur un site, un commentaire laissé, un achat réalisé, etc. C’est l’ensemble des informations sur une personne. Une entreprise peut aussi avoir une empreinte numérique.
Elle est composée d'une grande diversité d’informations. Il peut être difficile de prendre conscience de son ampleur car elle est constituée de façon volontaire ou involontaire, c’est ce qu’on appelle l’empreinte numérique passive ou l’empreinte numérique active.
Ce qu’on fait consciemment. Les données laissées de notre plein gré. Par exemple notre nom de famille complet sur LinkedIn, les photos publiques sur son profil Facebook, etc. Les réseaux sociaux sont, à eux seuls, une mine d’informations !
Celle dont on ne se rend pas forcément compte. Par exemple un numéro de téléphone en mode public sur son compte Facebook, parce que le mode privé de son profil est mal configuré.
Ce sont les données diffusées à notre insu / les données fuitées. Comme la publication en ligne d’une photo sur laquelle on apparaît ou encore des données publiées sur le darkweb à la suite du piratage d’un magasin, d'un établissement, d’un centre de santé… desquels nous sommes clients, patients, etc.
Les hackers l’ont bien compris, plus un attaquant se renseigne sur sa cible, plus l’attaque a des chances de réussir, car plus les messages sont personnalisés. Aussi pour atteindre une entreprise, les hackers ne se contentent plus de chercher une faille logicielle pour s’introduire dans les systèmes d’information, ils vont plutôt cibler les collaborateurs. La collecte d’informations par l’attaquant est une partie déterminante dans l’échec ou la réussite d’une attaque.
Par exemple, il va se renseigner sur les passions de sa cible pour contextualiser son attaque. Pour cela, il va regarder les profils des réseaux sociaux de sa cible et plus particulièrement les centres d'intérêt mentionnés. Si sa cible aime le ski, il pourra envoyer un mail personnalisé proposant des réductions pour la prochaine saison à Méribel.
La quantité astronomique de données professionnelles et personnelles disponibles sur l’espace cyber est la matière première des individus malveillants pour atteindre les collaborateurs. Elle peut se révéler très risquée pour une personne si elle est méconnue et non maitrisée.
Il existe de nombreuses façons de collecter des données de manière plus ou moins légales, en voici quelques-unes :
Internet n’est jamais anodin, tout ce que l'on fait sur Internet reste sur internet mais pas que…Chaque surf sur un moteur de recherche, laisse des traces. Par exemple les activités sur les réseaux sociaux, le comportement de navigation, les contacts, les relations, une profession, des goûts, des intérêts, les habitudes de voyage, parfois même des informations sur la santé. Un exemple insolite ou pas, une utilisatrice d’application web aux USA, a révélé à son insu, qu’elle était enceinte, avant même que sa famille ne le sache (https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/?sh=7d4c683c6668).
La liste est malheureusement longue et révèle beaucoup sur chacun d'entre nous. Une petite dernière dans les us et coutume. Les avis Yelp ou Google : lorsqu'une personne se venge de son assureur, du restaurant qui n’a pas respecté la cuisson du steak, eh bien oui ce commentaire constitue une information.
Les cookies tiers sont des cookies qui sont définis par un site Web autre que celui sur lequel une personne surfe. Ces derniers, sont de petits Sherlock Holmes qui vont collecter des informations sur les autres sites visités, ils vont relever la durée pendant laquelle la personne reste sur une page et les informations personnelles lorsqu'elle se connecte à d'autres comptes. De nombreux sites très connus en sont friands, on citera notamment les GAFAM.
Qui sont-ils ? Il s’agit en fait d’infrastructures qui stockent, gèrent et traitent les données d’une organisation, et peuvent vendre ces données à des fins publicitaires. En France nous avons : AWS, Google Cloud, Azure, Scaleway, OVH. Aux USA, il existe 540 courtiers en données en activité.
Ce petit compagnon de voyage est un vrai espion. Il enregistre, entres autres, les données de localisation. Ne vous est-il pas arrivé lorsqu’après avoir fait des achats dans un magasin vous receviez un courriel de l'entreprise en question, vous demandant si vous avez appréciez la visite ? mais pourquoi ?, non ce n’est pas la caméra du magasin qui vous a repéré (quoi que…) c’est bien votre option de géolocalisation qui vous a trahi.
On reste dans la thématique du smartphone. Les principaux opérateurs téléphoniques suivent les données personnelles de leurs utilisateurs et certains les vendent. L'emplacement encore une fois est tracké, l'activité Web, l'utilisation des applications, etc, ils savent « presque » tout.
Les données peuvent paraitre anodines, mais une fois regroupées et associées, elles révèlent des informations critiques permettant de mener des atteintes contre les personnes elles-mêmes et leur organisation.
ANOZR WAY peut vous aider à maitriser l'empreinte numérique des collaborateurs et dirigeants grâce à son application personnelle de protection. Elle permet de détecter les données exposées et compromises des réseaux sociaux jusqu’au darkweb : identifiants, mots de passe, données personnelles, professionnelles, financières, etc. Et de réduire concrètement l'empreinte numérique grâce aux actions de correction correspondant à chaque vulnérabilité humaine détectée.