[Enquête Numerama] Chaque jour, des milliards d’informations personnelles sont partagées sur des forums consultés par les pirates informatiques. Numerama s’est lancé pour défi de récupérer un fichier contenant le nom de ses propres journalistes.

Il faut vous y faire : des informations sur vous se baladent probablement en ligne, que ce soit une adresse mail, un numéro de téléphone, des mots de passe, voire des documents officiels. À moins de se protéger rigoureusement depuis votre premier compte créé sur le web, il est quasiment impossible aujourd’hui qu’aucune de vos données n’ait fuité. Pour mon travail, je scrute des forums fréquentés par les hackers, et vous seriez effarés de voir les centaines de millions d’informations privées mises en ligne quotidiennement sur ces plateformes.

Aujourd’hui, cela n’a rien d’exceptionnel, ces forums sont ouverts à tous — il suffit d’en connaitre l’adresse — et les fameux fichiers sont souvent gratuits ou vendus pour moins de 2 000 euros lorsqu’il s’agit d’infos particulièrement intéressantes.

Est-il est possible de retrouver ses propres identifiants sur un forum de hacker, comme s’il s’agissait d’un bien qu’on nous aurait dérobé ? J’ai essayé. Voici ce qu’il s’est passé.

Des hackers malveillants piègent les leaks

Première étape recommandée, vérifier si son adresse mail a déjà leaké sur haveibeenpwned, un site qui recense plus de 10 milliards de lignes de données issues de fuites. La plateforme vous informe uniquement si votre courriel est compris dans une base de données piratée et vous indique le site visé par la cyberattaque. En l’occurrence, ma vieille adresse hotmail avait bien fuité à trois reprises depuis 2015. Parfait.

Haveibeenpwned m'indique mon mail a été leaké à trois reprises. Néanmoins si le site ne trouve pas votre adresse cela ne veut pas dire qu'elle n'a jamais été partagée. // Source : Numerama
Haveibeenpwned m’indique mon mail a été leaké à trois reprises. Néanmoins, si le site ne trouve pas votre adresse cela ne veut pas dire qu’elle n’a jamais été partagée. // Source : Numerama

Je peux me lancer à la recherche de mes identifiants en me concentrant sur quatre forums, parmi les plus connus des hackers ordinaires. Ils ne seront pas cités ici pour éviter d’instiller des idées noires aux lecteurs.

On trouve de nombreuses bases de données françaises sur chacune de ces plateformes, toutes titrées « french mail combolist » pour parler des tandems mail et mot de passe. L’un des forums est même massivement fréquenté par des Français qui se partagent des codes MyCanal, des faux pass sanitaires, des certificats médicaux et évidemment des centaines de milliers d’infos privées. Ces dernières servent aux malfaiteurs pour trouver des listes de personnes à harceler par mails de phishing.

Je me concentre sur les annonces de leaks gratuits, mais cela me parait trop simple. Ma crainte est que les hackers ont piégé ces fichiers, que je télécharge un malware sur mon ordinateur professionnel et que mes chefs découvrent que je suis le génie qui a laissé entrer des hackers dans le système informatique de l’entreprise. Un expert en cyber, rodé à l’exercice, me donne quelques recommandations pour m’éviter de risquer le licenciement :

« Commencez par vérifier le format. Un fichier txt, csv ou dans archives (zip, tar) a moins de chance d’être infecté qu’un .bat, exe, py. Même si ce n’est pas une vérité générale. Je conseille ensuite de désactiver le téléchargement automatique sur son navigateur et de choisir où sera situé le document en question. Une fois téléchargé, vous pouvez l’ouvrir en lecture seul depuis un logiciel (Word, libre office). Cela permet de le consulter uniquement sans installer un intrus.

Se rendre sur le forum depuis le darknet et utiliser un VPN permet de brouiller les pistes. Pour télécharger sur ces forums, il faut créer un compte et les administrateurs n’ont pas que des intentions bienveillantes. Autant dissimuler son adresse IP pour ne pas leur offrir trop d’informations. Enfin et cela parait évident, installez un anti-virus. Cela reste la meilleure protection pour bloquer un malware

Avec tous ces conseils en main, je commence à télécharger les listes généreusement offertes.

De nombreux mails de la fonction publique

Une fois ouverte, j’ai en face de moi, un fichier texte ordinaire, composé d’une série de mails et de mot passe. Premier constat, les boites de messageries issues des opérateurs téléphoniques – orange.fr, sfr, bouygues.fr – sont massivement représentées. Viennent ensuite les services plus classiques à l’instar de hotmail, wanadoo et yahoo. Quant aux mots de passes, ils sont souvent effrayants de simplicité.

On remarque également de nombreuses adresses de la fonction publique : ministère, université et gendarmerie. Une courte recherche sur le web me confirme qu’il s’agit bien de personnes travaillant pour les institutions citées. Je prends la peine d’informer le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (COSSI/CERT-FR) que ces adresses circulent sur le darknet. L’agence de cybersécurité me répond être au courant de ces fuites et avoir prévenu les personnes concernées.

Un exemple d'annonce de fuite d'une base de données françaises. // Source : Numerama
Un exemple d’annonce gratuite de fuite d’une base de données françaises. // Source : Numerama

Mon ordinateur n’ayant pas été infecté, je commence à télécharger quotidiennement entre cinq et dix fichiers. Les remarques faites précédemment s’appliquent à toutes les fuites. Au bout d’une trentaine de « combolist », plusieurs millions de mails dans mes dossiers et autant de mot de passe composé d’un nom d’animal de compagnie couplé à un numéro de département, je tombe, enfin, sur mon propre nom. La recherche surligne ma vieille adresse hotmail ainsi qu’un mot de passe ridicule inspiré de mes catcheurs préférés lorsque j’avais quatorze ans. Si le code « secret » a été changé depuis plusieurs années, l’adolescent candide que j’étais a probablement utilisé ces identifiants pour créer ses premiers comptes sur divers sites.

« C’est trop tard »

Maintenant que j’ai en main une liste contenant des informations privées, qu’est-ce que je peux en faire ? D’abord, il faut se rendre à l’évidence : si mes identifiants sont en ligne sur ce forum, ils sont déjà en possession d’une autre personne et sûrement partagés sur d’autres forums. Au minimum, plusieurs centaines de personnes connaissent le nom de mon catcheur préféré dans les années 2010.

Je contacte un expert en cybersécurité pour en avoir le cœur net. « C’est trop tard », me répond Pascal Le Digol, directeur France de Watch Guard. « Si vos identifiants sont sur ces forums, ils le sont également autre part. Changez de mot de passe, utilisez un service de messagerie sécurisé, installez au minimum la double authentification », me recommande l’expert.

Les listes de mails en ligne ne sont qu'un simple alignement d'adresse  // Source : Numerama
Les listes des adresses en ligne ne sont qu’un simple document txt. Un malfaiteur n’a pas besoin de plus d’infos pour harceler des centaines de milliers de personnes avec des mails de phishing. // Source : Numerama

Je veux savoir ensuite depuis quand cette liste est en ligne. Cette fois, l’ANSSI, l’agence nationale de cybersécurité, refuse de lancer une analyse du fichier. Pourtant, ce dernier continent des mails de l’institution publique. Aucun souci, je passe par une entreprise en cybersécurité, qui envoie le document au CERT français à ma place. Réponse : la liste est en ligne depuis 2019. Ce ne sont pas des centaines, mais des milliers de personnes qui ont accès à ces identifiants.

Si l’ANSSI gère les alertes de cybersécurité, c’est la CNIL en France qui sanctionne les atteintes à la sécurité des données. Il est possible de déposer plainte auprès de l’autorité administrative sur cette page lorsqu’une entité n’a pas respecté les règles relatives à la protection des informations. Malheureusement, il y a peu de chance que l’identité des administrateurs du forum soit dévoilée, et que par conséquent, ils soient condamnés.

Ne faites pas ça chez vous

Mon hotmail et mon vieux mot de passe sont donc condamnés à rester éternellement sur le darkweb. Enfin, si vous avez apprécié cette quête des identifiants sur la face cachée du web, sachez qu’il est complètement illégal pour vous de la reproduire.

Alexandre Archambault, avocat spécialiste dans le droit du numérique, nous rappelle « que les journalistes et les chercheurs ont droit à des exemptions selon l’article 85 du RGPD. Pour le reste de la population, télécharger des données privées peut être considéré comme du recel d’informations personnelles ». L’article 226-18 dispose que « le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. »

« Ce n’est pas parce que c’est ouvert à tous que c’est légal », ajoute le juriste. « Cela ne veut pas dire non plus que les journalistes et les chercheurs ont tous les droits avec ces données », ajoute-t-il.

Rassurez-vous, tous les fichiers ont été supprimés après l’enquête. L’objectif de cette opération est de montrer au grand public, que n’importe qui peut retrouver des identifiants personnels sur le darknet aujourd’hui. L’autre conclusion à en tirer : les fuites sont tellement courantes qu’il faut changer de mot de passe le plus régulièrement possible. Dites-vous que pendant mes recherches, je suis peut-être tombé sur vos identifiants et vous n’avez pas envie que j’aille fouiller dans les messages de vos réseaux sociaux.