Fuite de données et vol de votre IBAN : comment vous protéger si vous êtes concerné ?
La CNIL a constaté plusieurs violations de données personnelles concernant des organismes connus du grand public ces dernières semaines, comme celle ayant touché l’entreprise FREE récemment. Usurpation d’identité, vol de l’IBAN … quels sont les risques ? Que pouvez-vous faire ?
Qu’est-ce qu’une violation de données ?
Les violations de données personnelles recouvrent notamment les fuites, vols ou pertes de données, que l’origine soit accidentelle ou malveillante. Ces données peuvent, dans certains cas, être revendues sur Internet ou encore être croisées avec celles issues d’autres fuites de données.
Comment savoir si vous en êtes victime ?
Lorsque ces violations sont susceptibles d’engendrer un risque élevé pour les personnes, les organismes doivent en principe informer directement les personnes concernées en mentionnant notamment les mesures prises pour remédier à ou atténuer les conséquences de la violation.
La CNIL n’est pas en mesure de vous informer ou de vous confirmer la présence de vos données parmi celles ayant fait l’objet d’une violation. Vous pouvez en revanche interroger l’organisme responsable sur ce point.
Quels sont les risques et que pouvez-vous faire pour vous protéger ?
Les risques vont souvent dépendre de la nature des informations dérobées.
L’exploitation frauduleuse d’IBAN (coordonnées bancaires)
L’IBAN est un identifiant bancaire que vous avez utilisé pour payer un abonnement ou un service.
Cet identifiant peut dans certains cas permettre à un pirate d’émettre des ordres de prélèvement illégitimes qui ciblent les IBAN obtenus frauduleusement. Le pirate peut aussi, plus directement, usurper l’IBAN d’une autre personne en les communiquant lors de la création d’un mandat de prélèvement dans le cadre d’une souscription à un service.
Afin de diminuer les risques d’exploitation frauduleuse de votre IBAN et de minimiser ses conséquences :
- Surveillez régulièrement les opérations sur votre compte bancaire et faites opposition si nécessaire. Rapprochez-vous de votre conseiller bancaire habituel en cas de doute ;
- Vérifiez la liste des créanciers autorisés (c’est-à-dire les bénéficiaires des prélèvements) dans votre espace de banque en ligne ;
- Lors de la réception d’un mandat de prélèvement prérempli, ou d’une prétendue mise à jour de celui-ci, soyez vigilant quant aux informations décrivant le créancier afin d’éviter un détournement de vos paiements.
L’usurpation d’identité
Si vous pensez être victime d’une usurpation d’identité à la suite de la divulgation d’informations vous concernant, vous pouvez :
- vous rendre sur le site cybermalveillance.gouv.fr pour obtenir des conseils pour vous prémunir d’usurpation ;
- déposer une plainte au plus vite auprès d'un commissariat de police ou de gendarmerie ;
- prévenir votre ou vos banques.
Si l’usurpation est confirmée, notamment si des banques vous adressent des courriers concernant des opérations qui vous sont inconnues, vous pourrez :
- vérifier si vous êtes fiché auprès de la Banque de France, notamment dans le fichier des incidents de remboursement des crédits aux particuliers ;
- vérifier si des comptes ont été ouverts à votre nom à votre insu en envoyant à la CNIL une demande de consultation du fichier des comptes bancaires (FICOBA).
Le cas particulier de la fraude à la carte SIM (SIM swapping)
Ce type d’escroquerie repose sur une usurpation d’identité et la manipulation de l’opérateur de téléphonie mobile. Grâce à des données personnelles précédemment volées, le pirate usurpe votre identité auprès de l’opérateur et prétexte la perte ou le vol de votre carte SIM afin d’en obtenir une nouvelle.
Si le pirate parvient à ses fins, il pourra alors recevoir vos SMS, vos appels et surtout les mots de passe à usage unique (OTP) utilisés dans le cadre de la validation de certaines opérations sensibles (par exemple : authentification à des services, validation de virements bancaires). Fort de ces éléments, le pirate pourra se connecter à vos différents environnements numériques et initier des opérations en ligne en usurpant votre identité.
Afin de limiter les risques associés à de telles tentatives :
- soyez attentif à une éventuelle perte d’accès au réseau mobile de votre opérateur depuis votre téléphone et contactez rapidement votre opérateur si cela survient sans explication apparente ;
- continuez d’appliquer les règles d’hygiène informatique (telles que la mise à jour des applications, le non-téléchargement de logiciels frauduleux ou de pièces jointes à des emails provenant d’expéditeurs inconnus, ou encore le non-accès à des sites Internet qui n’inspirent pas confiance).
Le hameçonnage (phishing)
Par SMS ou courriel
L’hameçonnage consiste à vous envoyer un courriel, un SMS frauduleux qui vous paraîtra réaliste du fait de l’utilisation de données récupérées grâce à la fuite (par exemple un soi-disant courriel de la sécurité sociale, de votre banque ou de services de livraison de colis par exemple).
N’ouvrez surtout pas les pièces jointes, n’y répondez pas, ne cliquez pas sur les liens de connexion et supprimez le message immédiatement.
D’une manière générale, privilégiez la saisie de l’adresse du site officiel du service, depuis votre navigateur, pour vous connecter à votre compte.
Par téléphone
Certains fraudeurs peuvent se faire passer pour votre conseiller bancaire, en gagnant votre confiance par leur connaissance de vos données personnelles dont votre IBAN, pour que vous effectuiez ou confirmiez une action en urgence, telle qu’un paiement.
Si vous recevez un appel téléphonique douteux, vérifiez le nom de votre conseiller et appelez-le au numéro indiqué sur vos relevés bancaires car il peut s’agir d’une forme d’escroquerie.
Comment se protéger au quotidien ?
D'une manière générale, vous pouvez renforcer votre sécurité numérique pour limiter les conséquences d’une fuite de données :
- changez vos mots de passe des services web que vous utilisez :
- en privilégiant des mots de passe forts et en suivant les conseils de la CNIL pour un bon mot de passe ;
- en priorisant les services les plus importants (courriel, impôts, banques, sites de commerce en ligne, etc.) ;
- évitez l’utilisation d’un même mot de passe pour différents services et conservez-les dans un gestionnaire de mots de passe ;
- utilisez les authentifications multifacteurs quand elles vous sont proposées par des services de confiance (par exemple l’utilisation d’une application mobile dédiée pour valider une connexion ou une opération).
Bonne pratique : partager l’information, c’est protéger les autres
Si vous pensez qu’une fuite de données peut concerner une personne de votre entourage (famille, amis, collègues), n’hésitez pas à :
- lui demander si celle-ci a reçu le message d’information obligatoire de l’organisme responsable ;
- lui transmettre les points de vigilance de la CNIL ou d’autres autorités officielles ;
- lui indiquer les bons réflexes à avoir dans l’immédiat et au quotidien (par exemple : changer ses mots de passe, utiliser une authentification multifacteur lorsque cela est proposé).
Soyez vigilant concernant les personnes vulnérables, en particulier :
- celles n’ayant pas un accès quotidien ou aisé à Internet ;
- les personnes âgées ;
- ou encore celles courant un risque personnel du fait de la fuite de données (par exemple en cas de divulgation de l’orientation sexuelle, de l’opinion politique ou religieuse, de l’état de santé, etc.).
Comment porter plainte ?
Vous pouvez porter plainte de deux manières :
- Auprès de la CNIL si vous estimez que vos données personnelles n’ont pas été suffisamment sécurisées.
- Auprès de la police ou de la gendarmerie si vous êtes victime d’une usurpation d’identité, d’une arnaque ou de paiements frauduleux.
Cyberattaque concernant l’opérateur de téléphonie FREE
Une enquête est en cours concernant cette cyberattaque, elle a été confiée à la brigade de lutte contre la cybercriminalité (BL2C) de la préfecture de Police de Paris.
Les obligations des organismes ayant subi une violation de données
Lorsque des fuites, vols ou pertes de données sont susceptibles d’engendrer un risque pour les personnes concernées, les organismes responsables doivent notifier la violation à la CNIL en lui fournissant des informations sur la nature de la violation, ses conséquences et les mesures prises pour y remédier.
La CNIL est alors en mesure d’accompagner les organismes en les conseillant, lorsque cela est nécessaire, sur la meilleure manière de réagir et d’améliorer leur posture de cybersécurité.
La CNIL peut aussi être amenée à collaborer avec d’autres acteurs institutionnels ayant aussi pour mission de veiller à la cybersécurité de l’espace numérique, tels que l’ANSSI, la section cyber du parquet de Paris (J3) ou encore cybermalveillance.gouv.fr.
À plus long terme, la connaissance fine des modes opératoires donnant lieu à des violations permet à la CNIL de créer des publications aidant à les prévenir ou à y remédier, à destination des organismes comme du grand public, au plus près de l’état réel de la menace. Elle permet aussi à la CNIL de partager son expérience avec les autres autorités en charge de la prévention du risque cyber et de bénéficier de la leur.
Le RGPD, la CNIL et la cybersécurité
La législation sur la protection des données personnelles - le règlement général de protection des données (RGPD) - impose à tous les organismes (entreprises, administrations, associations) d’assurer la sécurité des données personnelles.
La CNIL a quatre principaux rôles en matière de cybersécurité : elle conseille en amont les organismes sur les bonnes pratiques (ex : guide de la sécurité des données personnelles), elle contrôle en aval le respect de leurs obligations, elle reçoit et instruit les notifications de violation et enfin elle sensibilise les particuliers sur les risques.
Quelques chiffres 2023 :
- 4668 notifications de violation (plus de la moitié des violations de données notifiées à la CNIL trouvent leur origine dans du piratage) ;
- 117 contrôles (sur 337 effectués) avec pour prisme un enjeu de cybersécurité ;
- 14 sanctions (sur 42 au total) prononcées avec au moins un manquement relatif à la sécurité des données ;
- 74 mises en demeure avec au moins un manquement relatif à la sécurité des données.