"Stealers", "keyloggers", hameçonnage... Comment les hackers dérobent vos données personnelles

Après les données volées de France Travail au début du mois de mars, ainsi que les piratages de plusieurs ENT (espace numérique de travail), qui permettent à des élèves et des membres de l'éducation nationale de se connecter dans le cadre scolaire, les hackers ont de nombreux moyens pour voler les données d'internautes.

Il existe en effet de multiples techniques, causant le vol de vos données, qui se retrouvent ensuite sur des forums peu recommandables, vendant de véritables listes contenant mots de passe, identifiants ou encore données bancaires.

Le piratage de bases de données

Depuis quelques mois, les vols se multiplient au sein de grands grands établissements publics et privés. L'ampleur peut être particulièrement importante. On l'a vu le 13 mars dernier avec l'annonce par France Travail (ex Pôle Emploi) d'un piratage touchant "potentiellement" 43 millions de personnes. Le mois précédent, ce sont des données tout aussi sensibles, comprenant entre autres le numéro de sécurité sociale, qui étaient concernées, via le piratage d'un prestataire utilisé par de nombreuses mutuelles.

Si l'exploitation d'une faille technique n'est pas l'opération la plus simple, en raison des compétences techniques qu'elle peut requérir, elle peut être d'une efficacité redoutable. Elle permet parfois de récupérer des milliers, voire des millions de données en un temps très court. Ces listes, une fois partagées sur des forums spécialisés, ne valent pas forcément grand chose puisqu'elles vont parfois créer des doublons, mais elles peuvent néanmoins permettre de mieux arnaquer un internaute peu au fait de mesures de sécurité.

Avec de nombreuses données personnelles, comme le numéro de téléphone, l'adresse postale, ou encore le numéro se sécurité sociale, il devient plus facile pour un pirate de se faire passer pour quelqu'un qu'il n'est pas, par exemple un conseiller bancaire.

Le hameçonnage

Le principe du hameçonnage est qu'un utilisateur, qui consulte par exemple ses mails, puisse cliquer sur un lien qui paraît véritable, mais qui renvoie en réalité vers une fausse page imitant sa banque ou un réseau social quelconque, pour qu'il puisse ensuite rentrer ses identifiants ou ses données bancaires.

Les arnaques de ce type sont aussi répandues par SMS. Par exemple, un expéditeur se faisant passer pour un transporteur ou la Caisse des allocations familiales vous indique qu'il y a eu une erreur (de paiement, de réception, des droits de douane...) et que vous devez vous connecter à un lien pour vérifier ce qu'il se passe, ou payer une somme qui paraît minime.

Ce n'est évidemment pas le paiement de cette somme qui intéresse les escrocs, mais bien les coordonnées de votre carte bancaire que vous allez entrer dans le formulaire. Si vous recevez ce type de message, il convient de ne pas cliquer sur le lien et de faire suivre le message auprès du 33700.

Les "stealers"

Utilisés pour pirater les ENT, les espaces numériques de travail, ces derniers jours, les "stealers" ("dérobeurs") permettent d'avoir des résultats rapides en aspirant directement les données depuis l'ordinateur de la victime.

Ce sont des logiciels malveillants, dont la spécificité est de dérober les mots de passe enregistrés sur votre navigateur, ou les données que vous y avez associé, comme votre numéro de carte bancaire ou votre carnet d'adresse.

Pour lutter contre ce type de logiciel malveillant, qui vient s'immiscer en secret dans vos ordinateurs ou smartphones, un nettoyage régulier de l'appareil est toujours utile, tout comme l'utilisation d'un gestionnaire de mot de passe indépendant de celui proposé d'office avec le navigateur. L'authentification à deux facteurs (où vous recevez un code par mail ou par SMS, ou via une application avant de vous authentifier) est aussi une bonne solution pour éviter certains problèmes.

Les "keyloggers"

Les "keyloggers" fonctionnent de la même manière que les "stealers": il s'agit là encore d'un logiciel qui vient se cacher dans votre smartphone ou votre ordinateur, mais dont le mode de fonctionnement.

En l'occurrence, il ne vient pas aspirer l'ensemble de vos mots de passe, mais va plutôt patiemment attendre que vous les utilisiez. Il peut en effet détecter ce que vous tapez sur votre clavier pour envoyer toutes les informations au hacker, à distance.

Que ce soit les "keyloggers" ou les "stealers", ces deux types de logiciels espions peuvent arriver sur votre appareil de différentes manières, et sont particulièrement répandus dans le cas de logiciels de triches sur des jeux populaires comme Fortnite ou Call of Duty. Ils sont également souvent intégrés à des logiciels piratés et téléchargés illégalement.