À L’ABORDAGE. La sécurité informatique aura connu une année 2014 noire. Si les années précédentes ont été jalonnées par quelques piratages d’envergure, celle qui se termine a montré les nombreuses failles des plus grands noms du Web : Google, Apple, Dropbox mais aussi Snapchat ont fait les frais, non plus de bidouilleurs qui cherchent à réaliser des exploits ponctuels, mais de réseaux organisés de hackers dont le seul but est le profit. Europe 1 a compilé les 5 attaques mémorables de l’année 2014 et vous explique comment vous en prémunir.
> Snapchat, la rançon du succès
© REUTERS
C’est quoi Snapchat ? C’est le service en vogue chez les ados ces derniers mois : il s’agit d’une application pour smartphones qui permet de discuter en direct, via sa connexion Internet mobile, avec d’autres utilisateurs, quelle que soit la marque de leur appareil. On peut y échanger du texte, des photos ou même des vidéos, le tout gratuitement et, sur le papier, de manière sécurisée puisque chaque partage ne s’affiche que 10 secondes maximum sur l’écran de votre interlocuteur, avant de « s’autodétruire ».
Ce qu’il s’est passé. Au mois d’octobre, les serveurs qui hébergent les données des utilisateurs ont été piratés. En tout, ce sont plus de 100.000 photos qui auraient été hackées, dont certaines ont même été partagées publiquement sur des forums en ligne.
Pourquoi c’est inquiétant. Comme expliqué plus haut, Snapchat est particulièrement prisé par les 13-17 ans. Le service est notamment connu pour les photos dénudées partagées par ses utilisateurs, qui se protègent derrière la promesse de sécurité des concepteurs. Ce piratage signifie donc que des photos de mineurs se sont retrouvées accessibles à tous, en ligne.
Comment s’en prémunir. Snapchat s’était défendu juste après l’incident en arguant que les serveurs n’avaient pas été piratés mais que le service avait été attaqué via les applications tierces : pour sauvegarder les photos éphémères, les utilisateurs peuvent passer par des sites comme SnapSave ou SnapKeep. Ce sont ces deux portails qui auraient été ciblés pas les pirates. Notre conseil pour éviter un piratage de son compte Snapchat : n’utiliser que les applications officielles et changer régulièrement son mot de passe.
>> LIRE AUSSI - Piratée, l’appli Snapchat se défend
> Gmail, c’est dans les vieux pots…
© REUTERS
Ce qu’il s’est passé. Au début du mois de septembre, un forum russe (btcec.com) a publié cinq millions d’identifiants et mots de passe de comptes Gmail, la messagerie en ligne de Google. Un piratage d’envergure, qui a été orchestré en exploitant la faiblesse de certains mots de passe et, vraisemblablement, via plusieurs vagues de phishing (une technique de piratage par hameçonnage qui mise sur des e-mails usurpant les codes visuels de marques connues).
Pourquoi c’est inquiétant. En soi, le piratage n’a pas dû avoir un impact aussi important qu’il n’y paraît : la grande majorité des mots de passe dataient d’il y a trois ans, et les chances qu’ils aient été modifiés depuispar leurs utilisateurs sont grandes. Cependant, cette attaque met en lumière la grande faiblesse des mots de passe utilisés par les internautes, que ce soit sur Gmail ou tout autre service. Un vol inquiétant pour tout ceux qui ne changent pas régulièrement leurs mots de passe en ligne.
Comment s’en prémunir. Les conseils à tirer d’une attaque de ce type sont tout ce qu’il y a de plus classique : changer son mot de passe régulièrement, faire en sorte qu’il ne soit pas trop facilement “devinable” par un tiers et enfin ne pas utiliser le même code pour plusieurs services en ligne.
>> LIRE AUSSI - Mots de passe Gmail dérobés : que s’est-il passé ?
> 1 milliard de mots de passe volés, et moi et moi et moi
© REUTERS
Ce qu’il s’est passé. Un groupe de pirates informatiques russes s’est emparé début août d’environ 1,2 milliard de mots de passe provenant de société américaines et étrangères situées à travers le monde. Une intrusion auprès de quelque 420.000 sites qui pourrait être la plus grande de l’histoire.
Pourquoi c’est inquiétant. Au bout de sept mois de recherches, l’entreprise de sécurité Hold Security a publié ses conclusions sur cette attaque qui s’est déroulée en deux étapes. Dans un premier temps, les pirates ont racheté des données sur le marché noir : des identifiants, des noms, prénoms, adresses e-mails, etc. Puis, les pirates se sont servis de ces informations pour pirater les sites visés en utilisant des spams et des virus redirigeants les utilisateurs vers des sites ‘pirates’ et ressemblant aux originaux, sans que les internautes piégés ne s’en aperçoivent. Il ne restait plus aux hackers qu’à récolter les mots de passes entrés par les victimes elles-mêmes.
Comment s’en prémunir. Au total, le nombre de mots de passe récoltés par les pirates atteint 4,5 milliards, dont 1,2 milliard de ‘visiteurs uniques’ permettant d'avoir accès à quelque 500 millions de comptes e-mail. "4,5 milliards semble un chiffre énorme mais il faut penser au nombre de sites qui demandent une identification par e-mail et presque tout le monde réutilise le même mot de passe plus d'une fois", souligne la société, tout en précisant que toutes les données dérobées par les pirates ne sont pas nécessairement encore utilisables. Moralité : mieux vaut utiliser un code unique par service en ligne, afin de réduire les risques de pertes de données.
>> LIRE AUSSI - Des pirates russes dérobent un milliard de mots de passe
> iCloud, les stars mises à nues
© REUTERS
Ce qu’il s’est passé. Plus d’une trentaine de célébrités hollywoodiennes se sont fait dérober, début septembre, des photos sur leur téléphone portable ou leur compte iCloud, la plateforme de stockage de données d’Apple. L’information est tout d’abord apparue sur le site 4chan, un forum de discussion. Le message, suppriméensuite mais relayé par le site Mashable, indiquait une impressionnante liste de noms, concernés par un piratage. Apple a confirmé dans la foulée que les comptes des stars avaient bien été compromis mais que ses systèmes n'avaient pas été attaqués. Selon plusieurs médias américains, les pirates ont puisé dans les banques de données de l'iCloud d'Apple, mais des services similaires d'autres opérateurs pourraient également être concernés.
Pourquoi c’est inquiétant. Rihanna, Jennifer Lawrence, Hayden Panettiere, Scarlett Johansson ou encore Kate Upton seraient concernées. Mais aussi Avril Lavigne, Cara Delevigne, Hillary Duff, Kaley Cuoco, Mary Kate Olsen, Kirsten Dunst, Kim Kardashian et Selena Gomez. La grande majorité de ces stars ont affirmé que ces photos dataient de plusieurs mois voire plusieurs années, et qu’elles avaient été supprimées depuis. De quoi penser qu’Apple garderait une trace des fichiers passés par iCloud, même après leur suppression.
Comment s’en prémunir. Difficile ici de lutter contre une telle attaque. Si monsieur ou madame tout le monde n’est pas concerné, les photos hébergées sur des plateformes de stockage en ligne comme iCloud sont en théorie sécurisées voire inaccessible par l’hébergeur lui-même. Mieux vaut éviter d’enregistrer des fichiers compromettants sur de tels services. Qui plus est si vous vous appelez Jennifer Lawrence…
>> LIRE AUSSI - Photos de stars piratées : Apple nie toute faille
> Dropbox, le piratage façon braquage
Ce qu’il s’est passé. Un pirate a publié, au mois d’octobre dernier, une liste de 400 identifiants et mots de passe Dropbox. Au total, le hacker anonyme aurait mis la main sur 6.937.081 de comptes de cette solution qui permet de sauvegarder des documents sur une sorte de disque dur virtuel. Sur le portail PasteBin, l’homme a publié une partie des comptes dont l’identifiant commence par la lettre B. Mais sa demande n’est pas commune : ceux qui veulent voir d’autres identifiants et mots de passe Dropbox rendus public peuvent lui envoyer des bitcoins (une monnaie virtuelle qui ne s’échange que sur Internet).
>> LIRE AUSSI - Comment un pirate a “braqué” Dropbox
Pourquoi c’est inquiétant. Quelques heures seulement après la revendication du hackeur, le portail de stockage a refusé l’idée d’un piratage et rejeté la responsabilité sur les utilisateurs : “Ces noms d’utilisateurs et mots de passe ont été malencontreusement volés depuis d’autres services et utilisés dans des tentatives de connexions aux comptes Dropbox. Nous avions déjà détecté ces attaques et la grande majorité des mots de passe publiés ont maintenant expiré depuis longtemps”. Mais Dropbox ne précise pas le nombre exact de comptes encore vulnérables.
Comment s’en prémunir. Une fois de plus, pas de recette magique : mieux vaut choisir un mot de passe unique pour les services en ligne comme Dropbox. De plus, il est recommandé, après une telle mise à l’épreuve de la sécurité d’un géant en ligne, de changer son mot de passe, même lorsque son compte n’a pas été ciblé par le piratage.