Les fuites massives de données, ou comment faire une bonne affaire en bourse

Yahoo reconnaît une fuite de 500.000.000 comptes mail

Certes, ce n’est pas la première fois pour Yahoo Mail (1), mais quand même, ça tombe pile openphotonet_phoneindex1pendant le bouclage du rachat par  l’opérateur américain Verizon. Et quel beau carnet d’adresses, avec des mots de passes réels facilement déchiffrables. De quoi enrichir les dictionnaires des outils de hacking avec quelques nouveautés.

Le montant du rachat semble être de 4.800.000.000 dollars, ou peut-être un peu moins après cette affaire ? Les chiffres sont vertigineux, à la hauteur des enjeux financiers pour les opérations de haut vol dans l’industrie, lorsqu’il s’agit d’acteurs majeurs.

Une telle opération, si elle est vérifiée, représente une exploitation intéressante de la cyber sécurité dans le monde des affaires. Parce qu’elle touche un groupe connu du grand public, ce qui en augmente d’autant les effets.

[mise à jour du 7/10/16 : verizon demande effectivement un rabais de 1.000.000.000$

Et c’est un bon moyen de garder à l’esprit que les risques ne sont pas que portés par les départements informatiques, il sont aussi et même surtout, portés par leur propriétaires réels que sont les départements marketing, juridique et commercial pour une entreprise comme Yahoo qui évolue dans le monde de la communication (régie publicitaire en tête).

 

Principe de précaution

  • Changez votre mot de passe Yahoo Mail
  • Vérifiez si vous avez des actions Yahoo! (YHOO) en portefeuille (assurance vie ? compte titres ?)
  • Changez éventuellement le mot de passe de tous les autres sites ou vous utilisez l’adresse Yahoo Mail comme identifiant, car si votre caution-tripping-hazard-1444098-639x510compte de messagerie est exploité, il a pu être utilisé pour « réinitialiser votre mot de passe » sur d’autres plateformes et en gagner l’accès
  • Activez, partout où c’est possible à commencer par Yahoo Mail, la double authentification (par SMS, avec code à usage unique type Google Authenticator ou votre app similaire préférée)
  • C’est l’occasion de (re)découvrir le site qui vous aide à vérifier si votre adresse email à été compromise : haveibeenpwned.com , vous y inscrire en veille sécurité et éventuellement y faire un petit don pour ce service inestimable

En ce moment Yahoo Mail invite à vérifier que votre compte est sécurisé

yahoo-secure-my-account

Voilà ce qui s’affiche après une connexion à une boite mail existante.

En répondant Yes, secure my account, vous êtes invité à saisir un nouveau mot de passe, puis vérifier les moyens de récupération (adresses email secondaires, numéros de téléphones).

Il n’y a pas de fumée sans feu

 

 

 

(1): 5.000.000 comptes fuités le 10/09/2014.

 

Les coffres-forts numériques et les petites lignes du contrat 

 

Vos identifiants sont strictement personnels et confidentiels

Processed by: Helicon Filter;C’est tellement évident que cette petite phrase n’est plus systématiquement écrite sur les formulaires d’inscription, mais reléguée aux petites lignes des CGU (conditions générales d’utilisation).

De même que « jamais un employé de … ne vous demandera votre mot de passe ou code confidentiel ».

Prenons quelques exemples pour commencer.

 

Votre banquebank-safe-lease

Vous offre un coffre fort numérique pour stocker dans l’espace client vos fichiers importants (impôts, actes notariés etc). Comme par exemple Digiposte du CIC Quoi que peut-être moins courant ces derniers temps, les banques ont repris leur offre de location de coffre privé en le dématérialisant.

 

Votre cloud

Où l’hébergeur vous assure la Disponibilité, l’Intégrité, la Confidentialité des données hébergées. L’endroit idéal pour stocker votre fichier excel des mots de passe, ou mieux encore le coffre keepass,  pour le distribuer et l’utiliser sur tous vos appareils.

 

Votre gestionnaire de mot de passe

Au sens large : le trousseau iCloud d’Apple, ou celui de Firefox/Edge/Chrome a peut être déjà appris plus d’identifiants que vous ne le souhaitez sans vraiment vous en rendre compte.

Ou avec votre accord explicite dans la famille des gestionnaires de mot de passe spécialisés  à la keepass/1password/dashlane/lastpass… et dans ce cas pas forcément gratuitement, ce qui est déjà un mieux car vous avez explicitement passé un contrat pour cela avec une entreprise dont c’est le cœur de métier.

 

Tout le reste

Je ne vous apprends rien en disant que votre smartphone sait tout sur vous n’est-ce pas ?

Avec les apps de centralisation et stockage de cartes de fidélité type FidMe &  cie, les « cliquez ici pour mémoriser ces identifiants », et autres « rester connecté ». Plutôt léger (cookies de sessions) par rapport aux gestionnaires de mot de passe, mais avec le même objectif d’alléger votre charge cognitive.

Les petites lignes du contrat

Maintenant que vous avez la puce à l’oreille, à propos de qui peut avoir vos identifiants et mots de passe, vos références, demandez vous a qui d’autre à part vous même avez vous promis de les garder secrets et strictement confidentiel, de ne pas les transmettre à un tiers, et prendre toutes les mesures nécessaires pour ne pas les divulguer ?

Indices: tous vos fournisseurs de services, financiers, sites et institutions diverses qui ont blindé leur contrat et CGs…

Avant un clic sur « j’accepte les conditions », ou en retrouvant les CGs que vous avez déjà signé: Bonne lecture…!

 

Corollaire

Bon, bien sur, en cas de vol massif d’identifiants chez un fournisseur spécialisé dans les coffres forts numériques, difficile de vous en vouloir puisque c’est une défaillance de votre prestataire. Et plutôt que d’essayer de gérer votre stock de mots de passe seul ou avec de fausses bonnes solutions (le fichier excel) : en passant un contrat de service (abonnement payant) avec un des leaders du marché, vous avez déjà davantage de recours possibles pour prouver que vous avez pris les mesures nécessaires afin de protéger vos comptes. Donc il peut-être intéressant de ne pas comparer que le coût d’abonnement avant de souscrire, en vérifiant par exemple la réputation, l’historique des incidents avec la communication associée et les améliorations qui ont suivi, ou encore ce que propose votre fournisseur de coffre en cas d’incident.