Aux origines des fuites de données

Image de couverture
Publié le : 15/11/2021 - édité le : 16/11/2021
Publié par : Alexis M.
Temps de lecture
Sommaire

Les fuites de données sont un des enjeux de la cybersécurité d’aujourd’hui. Les utilisateurs d’internet utilisent de nombreux services. Le modèle actuel demande un certain nombre d’informations qui sont stockées en échange de l’utilisation d’une fonctionnalité. Ces masses de data sont une cible de choix pour les hackeurs. 

Donnée personnelle et identité

Les données personnelles peuvent se retrouver sous différentes formes. On utilise cette appellation quand une donnée correspond à une personne identifiable directement ou de manière indirecte.

Les systèmes informatisés sont aujourd’hui capables de répondre à un grand nombre de services. Face à la masse d’utilisateurs, la gestion des identités est indispensable. Cette nécessité se comprend parfaitement quand le système gère votre compte bancaire, l’accès à votre immeuble ou encore pour savoir qui monte à bord d’un avion.  

L’identité permet donc à un utilisateur d’accéder à un service. Les mécanismes en place aujourd’hui, pour gérer cet aspect, sont souvent rudimentaires. L’explication en est très simple : la preuve de l’identité doit être :

-Simple, pour limiter les vulnérabilités, mais surtout faciliter leur communication : on ne vous demandera jamais une copie de carte d’identité avec un test ADN pour vous connecter à votre boite mail, car au-delà de l’aspect sensible des preuves, la complexité est trop forte pour que tout le monde puisse le faire partout et tout le temps.

  • -Rapide, car l’accès au service doit se faire dans un délai court. 
  • -Facile, pour que le service soit accessible à tous.
  • -Acceptable, car un utilisateur acceptera de fournir une preuve d’identité à la mesure de l’importance du service. Il est inenvisageable de fournir ses relevés de compte pour accéder à sa boite mail.

Ces contraintes ont poussé les architectes des services à mettre en place des systèmes d’identification basés sur le secret. Nous vous demandons une information qui permettra d’identifier le compte publiquement comme un nom d’utilisateur, puis un mot de passe. De plus une information de contacte type mail est demandé afin d’interagir avec vous. Le couple nom d’utilisateur/mot de passe ou email/mot de passe est alors demandé. Si ce couple correspond à ce que vous avez saisi lors de votre inscription et qui stocké dans la base de données du service, alors les portes s’ouvrent.

Le contrôle de l’identité se fait donc sur la capacité à connaitre des informations relatives au compte du service. Le contrôle de l’identité réelle n’est donc que partiel.

Point de vue cognitif et mauvaises pratiques

L’utilisateur qui s’authentifie est un être conscient. La tâche de restituer son nom d’utilisateur et son mot de passe provoque une surcharge cognitive. Il est obligé de passer par cette étape pour effectuer une action productive précise.

Cette étape impose à l’utilisateur de passer par l’authentification, ce qui est souvent perçu comme une nuisance (page de connexion longue à charger, etc.). Ce phénomène incite l’utilisateur à appliquer les consignes de façon littérale (m0t2passe ou P@ssword) afin de ne pas « encombrer » l’espace cognitif du cerveau.

De plus, ces propriétés font découler des difficultés de mémorisation n’encourageant pas la diversité des mots de passe. L’exercice est bien sûr complexifié par la difficulté pour l’humain de mémoriser des choses sans véritable sens comme une chaine de caractère aléatoire.

Notons que les principales mesures de sécurité mises en place pour les mots de passe, sont souvent un échec du fait de ces phénomènes : scoring de la complexité du mot de passe, changement tous les 3 mois, etc. En effet, les mots de passe longs sont souvent simplifiés et le changement régulier pousse l’utilisateur à choisir des mots de passe très similaires (variation d’un nombre, changement d’un symbole, etc.).

Un grand nombre d’utilisateurs utilise donc le même couple nom d’utilisateur/mot de passe ou email/mot de passe sur l’ensemble des services utilisés par celui-ci. 

Les leaks dans tout ça ?

Les hackeurs connaissent très bien ces mauvaises pratiques leurs implications. Un grand nombre de bases de données sont dérobées et distribuées dans l’unique but de trouver d’autres comptes utilisateurs utilisant le même couple email/mot de passe. 

Imaginons que vous vous êtes inscrit sur un forum qui partage du contenu lié à votre passion. Imaginons aussi que vous vous êtes inscrit sur un site de rencontre. Un hackeur ayant piraté et récupéré la base de données du forum, partir du principe que vous avez aussi utilisé le même mail sur le site de rencontre. S’il a raison, il va multiplier les essais pour trouver tous les services que vous utilisez. Cela peut être très rapide si vous utilisez le même mot de passe sur votre boite mail. 

Les fuites de données font partie de l’arsenal utilisé par les cyberdélinquants. Loin des clichés, ces mauvaises pratiques font perdurer un écosystème de revente d’informations personnelles.

Des solutions existent

Les solutions sont multiples et ne nécessitent pas forcément de complexifier les mots de passe, car nous pensons. La société AQLM 3.5 met son expertise à votre service afin de prévenir ces attaques. Notre service AQLM LEAK vous alerte sur les fuites de données en cours, mais aussi de révéler celles passées.