Lorsque l’on parle de vol de données, cela n’implique pas forcément un piratage. Explication des deux termes, et de ce qui différencie ces actes cybercriminels.

Cette deuxième semaine du mois d’août est marquée par deux grandes actualités cyber au Royaume-Uni. Le 9 août 2023, la Commission électorale du Royaume-Uni a annoncé qu’elle avait subi une cyberattaque en août 2021 et que les attaquants avaient eu accès au registre des citoyens pendant un an. Le même jour, un document contenant les noms et grades de milliers de policiers d’Irlande du Nord a été publié par erreur en ligne, suscitant des inquiétudes pour la sécurité des agents.

Ces deux cas permettent d’expliquer deux actes cybercriminels régulièrement repris dans les médias. Un piratage et un vol de données sont souvent liés, mais pas forcément inhérent l’un à l’autre.

Pour pirater, il faut s’infiltrer

Dans le cas de la Commission électorale du Royaume-Uni, on parle de piratage (ou hacking) : des individus se sont infiltrés illégalement dans un réseau informatique, le plus souvent en piégeant un employé avec un fichier à télécharger, ou en profitant de la faille d’un logiciel. Selon le site gouvernemental cybermalveillance.gouv, le piratage informatique consiste en une intrusion « sans autorisation dans une ressource comme un ordinateur, un serveur, un réseau, un service en ligne ou un téléphone mobile ».

Un piratage peut se faire simplement en trompant un individu qui partage des identifiants et en prenant le contrôle d’un de ses comptes par la suite. Le plus souvent des logiciels sont dissimulés – cheval de Troie, infostealer – dans des pièces jointes et donneront accès à l’ordinateur une fois installés. L’objectif du pirate est de prendre le contrôle de la ressource et/ou de dérober des informations. Les motivations sont nombreuses : usurpation d’identité, fraude bancaire, gain d’argent, espionnage, sabotage, politique, chantage.

Une fois que des dossiers sont exfiltrés et récupérés par le malfaiteur, on parle de vol de données.

Voler des données peut se faire sans piratage

On peut parfaitement dérober des données sans à avoir à pirater un compte. Le cas le plus courant et que vous voyez quotidiennement dans vos boîtes mail est celui du phishing. Lorsqu’un cybercriminel crée un faux site – de la SNCF, RATP, La Poste ou Amazon par exemple – dans lequel il vous invite à rentrer vos identifiants, l’objectif est d’abord de voler vos informations. Le malfaiteur ne va pas forcément pirater le compte derrière. Le plus souvent, il le revendra sur des forums ou le dark web, car vos données sont un bien.

Les pirates espèrent que leurs cibles rempliront ce formulaire, hébergé sur un site à l'adresse plus que douteuse. // Source : Numerama
Un faux site des impôts destinés à dérober des informations personnelles. // Source : Numerama

Des informations peuvent être récupérées en trompant la cible. Le charlatan va chercher à convaincre un individu, en usurpant une identité par exemple, de lui envoyer un fichier. On parle d’ingénierie sociale lorsqu’un pirate parvient à récupérer une information juste avec la force de persuasion.

Prenons maintenant le cas de la fuite des documents de la police nord-irlandaise. Le fichier a de fortes chances d’être partagé sur les forums de hackers. N’importe qui peut aller le consulter. Si ce dernier contient des informations personnelles, juridiques, ces dernières peuvent être volées et détournées pour des intérêts malveillants.

Les listes de mails en ligne ne sont qu'un simple alignement d'adresse // Source : Numerama
Une fuite de mail avec mot de passe que l’on trouve régulièrement sur les forums de hackers. // Source : Numerama

Ce n’est pas parce qu’un document confidentiel est en ligne qu’il est légal de l’utiliser. Selon l’article 2.2 du Règlement adopté le 30 mai 2022 par l’UE, la « réutilisation » d’une donnée en sources ouvertes est « l’utilisation, par des personnes physiques ou morales, de données détenues par des organismes du secteur public, à des fins commerciales ou non commerciales autres que l’objectif initial de la mission de service public ». Les peines varient ensuite en fonction de la réutilisation des informations. Les données peuvent être un secret protégé par la loi, des droits de propriété intellectuelle, des actes médicaux etc.

L’article 226-18 du code pénal dispose que « le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. »

Sachez maintenant que quand vous téléchargez un film, un livre, un document, vous volez des données. Cela ne fait pas de vous un hacker en revanche.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !