Quels sont les risques liés aux multiples fuites de vos données personnelles ?

T’étais sur des sites pornos ! Ouep, je bossais :o

Quels sont les risques liés aux multiples fuites de vos données personnelles ?

Le 01 décembre à 15h00

Commentaires (48)

votre avatar
Merci pour ces précieux rappels !
votre avatar
Il y a aussi le trio « nom, prénom et numéro de téléphone », qui alimente le spam téléphonique même en étant sur Bloctel.
votre avatar
Oui, depuis que mon numéro a fuité, j'ai beaucoup d'appels d'arnaque.
votre avatar
Pour ça, je conseille l'application Saracroche : elle est libre et il y a la possibilité de faire des signalements de numéros.
Et le développeur est sur Mastodon, aussi. ^^
votre avatar
Avec les données bancaires, attention à vos sous
Sur ce point, j'ai activé côté Caisse d'Épargne les alertes sur les mouvements du compte dès 1 €. En plus des alertes comme les nouveaux prélèvements, ça permet de vite réagir en cas de pompage suspect.
votre avatar
Il faudrait surement l'expertise d'un avocat ... mais en tant que victime de mes données volées dans une organisation qui a été piratée, je suis lésé d'un préjudice : celui de la perte du contrôle ou de la propriété de mes donnée personnelles (puisqu'elles sont possédé par des personnes que je n'ai pas autorisé a posséder), et de l'utilisation malveillante de celles-ci.

A mon sens, il devrait être possible de faire pression sur ces entreprises / institutions négligentes, je trouve que c'est trop facile pour une entreprise de prétendre veiller au grain sur mes données et quand il y a fuite « oupsie c'est pas notre faute on a été piraté ». S'il y a un risque financier de devoir dédommager les utilisateurs qui ont confié leur données, ça devrait motiver les entreprise a consacrer plus d'effort de sécurisation.
votre avatar
Le problème c'est que dans ces entreprises, tu n'as pas que des entreprises négligentes. Tu peux bien tripler ton budget de sécurité, sensibilisation, formation, rien n'est jamais sûr. Surtout avec le facteur humain dans la boucle et en bossant avec des prestataires...
On ne peut pas non plus, exiger de certains tiers (parfois 15x plus gros que nous) des garanties.

Ca doit quand même être compliqué juridiquement. Tout comme se retourner contre Vachette ou Vérisure le jour ou tu te fais forcer la serrure de ton domicile semble compliqué.
votre avatar
Oui, mais il y en a. Je pense que c'est comme partout: la majorité n'en a rien à foutre tant que ce ne sera pas contraignant (l'effet en termes d'image ne marche plus du tout en 2025 et le temps de l'hyper consommation)
votre avatar
Je ne pense pas que la majorité n'en n'ont rien à foutre. Il y en a ! Je suis bien d'accord.

Mais il y a une différence entre en avoir à faire quelque chose et pouvoir le faire, sous quel niveau priorité, avec quel budget, par quelles personnes, etc...

Quand t'es sur Next, tu lis les commentaires et tu as toujours l'impression que les directions ils ont les moyens pour un peu tout et que les budget cyber ne sont pas assez élevés. C'est peut être le cas pour beaucoup !! Mais il faut penser que tous les autres services disent la même chose ;) Ce n'est pas une équation si simple et c'est assez réducteur de dire "ils n'en n'ont rien a faire".

Personnelement, je n'ai jamais vu un DSI qui n'en avait rien à faire, mais je ne doute pas qu'il y en ait.
votre avatar
Je propose une règle simple: si tu n'es pas en capacité de protéger une donnée selon "l'état de l'art", tu ne la collectes pas. Si tu le fais et que la donnée fuite, grosse amende. Mais pour ça faudrait un organisme qui pénalise vraiment les entreprises irresponsables, pas comme la CNIL avec les non-conformités au RGPD.
Par expérience, je peux t'assurer qu'il y a beaucoup de boites qui choisissent de ne pas mettre les moyens dans la cybersécurité. C'est un centre de coût, et quand tout se passe bien les décideurs ont tendance à oublier pourquoi c'est utile de mettre des sous là-dedans.
votre avatar
Et qui fait la définition de "l'état de l'art" ?

Collecter des données c'est pas forcément du marketing, c'est souvent une obligation..

Si je dois t'envoyer un colis je suis obligé de collecter tes données et de les transmettre au transporteur par exemple.
votre avatar
Et si un indélicat te vole mes données et va ensuite les placarder partout en ville ou s'en sert pour me nuire, il ne serait pas déconnant que je vienne te demander des comptes.


Beaucoup de ces entreprises sont ravies de se goinfrer de nos données. Elles font leur beurre avec. Par contre quand ça part en sucette c'est "email générique, bonne chance à tous, et ciao!"

Exemple personnel, Le Slip Français: ils n'ont pas fait plusieurs fois le nécessaire, ont gardé mes données bien au-delà de la durée normale recommandée, ont mis une plombe à me répondre quand je leur ai demandé des comptes, m'ont assuré avoir tout supprimé après beaucoup trop de relances, mais pourtant que reçois-je encore sur ma boîte email dernièrement: une pub ciblée de leur part... Le tout malgré une perte de données conséquente l'année dernière (dont j'ai été victime alors qu'ils n'auraient déjà plus dû avoir mes données depuis plusieurs années). À quel point se moquent-ils de nous ?

Mais il ne faut rien dire. Parce que de toute façon, la CNIL étant aussi utile qu'un épouvantail décomposé au milieu d'un champ de 10000 hectares, tout un chacun peut se permettre de n'en faire qu'à sa tête.

Les pauvres entreprises, c'est pas leur faute. C'est jamais leur faute. Demain, en tant que particulier, je suis pour X ou Y raison moins vigilant qu'à l'accoutumée, je tombe dans un panneau plus ou moins violent, j'y perdrai des plumes. Et on me dira que ce n'est que de ma faute. Après tout, une palanquée d'entreprises (voire des administrations) ont fait n'importe quoi de mes données mais elles ont envoyé un email pour dire que la sécurité de mes données étaient leur priorité, qu'elles avaient fait le nécessaire depuis, et qu'il fallait que je sois vigilant. Donc tout va bien, elles sont irréprochables. Chats perchés.

Surtout qu'on le voit bien tout au long des fuites de données au cours de l'année, c'est souvent de la négligence caractérisée. Des jeux de données entiers, toutes accessibles massivement et facilement, exfiltrées sans avoir transpiré. Il s'agit rarement d'exploits de très hauts vols.

Éthiquement, l'impunité a ses limites.
Hélas juridiquement, c'est une autre histoire...
votre avatar
Non, ce n'est pas une obligation de collecter les données. Tu peux prendre un prestataire qui lui aura mis des sous dans la sécurité, qui se chargera de récolter l'adresse de livraison et d'envoyer le colis.
Et même si une boite choisis de collecter des données pour des raisons qu'elle juge légitime (même si souvent ça ne l'est pas), les données sont souvent conservées bien trop longtemps. Pour m'envoyer un colis, pas besoin de conserver l'adresse des années. Juste le temps d'envoyer le colis, plus le délais pendant lequel un litige pourrait être ouvert. Alors pourquoi des gens se retrouvent avec leurs données qui fuitent des années après avoir passé commande ? Protéger les données, c'est aussi avoir des durées de conservation de celles-ci adaptées.
votre avatar
Cet article mériterait d'être en accès libre, il est top et bien complet.
C'est possible pour Noël ? 🎅
votre avatar
est-ce que la libération des articles au bout d'un mois (donc pour le nouvel an) est toujours d'actualité ?
votre avatar
Non. Ferd l'a expliqué ici.
votre avatar
Ah oui ? Merci de l'info. J'étais passé à côté.
votre avatar
Tu peux offrir l'article. Et expliquer que Next vaut le coup d'y être abonné pour des articles de ce genre justement.
C'est un bon moyen de faire de la pub pour le site.

Sinon, désolé de te décevoir, mais le père noël n'existe pas.:santa_flock:
votre avatar
Pour les mails, déjà dit plusieurs fois, mais je recommande grandement les alias uniques. Ça change la vie :fumer:
Que ce soit avec les différents fournisseurs, et même mieux avec son domaine perso. Ça coute pas grand chose, ça demande un peu de taff au début pour changer, mais après sa renforce clairement sa sécurité et son hygiène numérique.
votre avatar
comment tu construis tes alias, je réfléchis à un truc genre [prefixe]_[achats/etat/sante]_[nom_du_site]@domaine.fr?

j'ai acheté un domaine et aimerais donner des boites à des proches mais que nos alias ne puissent pas entrer en conflit tout en pouvant aller à la caisse d'un magasin et donner un alias forgé sur le moment sans appareil numérique donc prefixe*@domaine

boites chez galae
votre avatar
J'utilise SimpleLogin (maintenant intégré à ProtonPass) via mon abonnement Protonmail.

Pour les alias que je crée manuellement (la grande majorité du temps), sauf cas exceptionnel je pars sur la base [NomDuService/duSite/etc...].[Random combination of 5 letter and digits]@mondomaine.fr
La combinaison random est géré par SimpleLogin, ça s'active ou non, au choix.

Et quand j'ai besoin de donner rapidement un mail sans le générer manuellement, 2 possibilités :
- catchall : au risque d'être spammé. ça m'est arrivé, j'ai donc désactivé cette fonction.
- fonction Auto Create : basé sur les expressions régulières (je cite : A rule is based on a regular expression (regex): if an alias fully matches the expression, it'll be automatically created. ) C'est ce que j'utilise. tu peux créer plusieurs règles, et il y a une debug zone pour tester. Dans mon cas, ma regex est du type [mesinitiales].[n'importe quoi]@mondomaine.fr ou [n'importe quoi].[mesinitiales]@mondomaine.fr

la doc de SimpleLogin : https://simplelogin.io/docs
la doc de ProtonPass pour les alias : https://proton.me/support/pass/email-aliases
votre avatar
Bah mince, ça fait des années que j'utilise SimpleLogin et je connaissais pas cette fonction d'Auto Create protégée par expression régulière. Ça pourrait être utile, merci !
votre avatar
j'avoue que l'interface et les settings sont un peu planqué, il y en a un peu partout.
Domains > [Ton domaine] > Auto Create (menu à droite)
votre avatar
En plus de ça, j'ai une adresse pub@domaine.fr
Tout ce qui arrive dessus va direct à la poubelle, pratique quand j'ai besoin de donner une adresse à un magasin pour une carte de fidélité
votre avatar
je fais ça aussi, et dans les quelques cas où en magasin physique on veut à tout prix une adresse mail, c'est toujours drôle de voir la tête de l'interlocuteur quand tu lui dictes poubelle@domaine.fr
Et si on veut un numéro de téléphone alors que je juge que c'est pas utile, je suis le chanceux qui a le 06.00.00.00.00 :francais:
votre avatar
Encore une fois, ce qui est honteux pour l’un ne l’est pas forcément pour l’autre. Les pirates ne le savent que trop bien et peuvent en jouer pour tenter de vous faire chanter. La sextorsion est un exemple bien connu, mais ce n’est pas le seul.
Shut Up and Dance - Black Mirror, S03E03
votre avatar
Tout comme ce passage de l'article :
"De plus, vous encourageriez l’escroc à continuer à piéger d’autres personnes ». Cette problématique est au cœur de l’épisode Shut Up and Dance de Black Mirror."
votre avatar
Piratage : Les données d’1,6 million de jeunes usagers de France Travail « susceptibles d’être divulguées »
Les données personnelles d’environ 1,6 million de jeunes suivis par les missions locales pour les aider à trouver un emploi « sont susceptibles d’être divulguées » à la suite d’un piratage informatique, ont annoncé lundi France Travail et l’Union nationale des missions locales (UNML). Les données concernées sont le nom et le prénom, la date de naissance, le numéro de Sécurité sociale, l’identifiant France Travail, les adresses mail et postale, ainsi que le numéro de téléphone. « Aucun mot de passe ni aucune coordonnée bancaire n’ont été extraits », précisent toutefois les deux organismes dans un communiqué conjoint.
votre avatar
Encore !

L'authentification forte, ils ne connaissent pas, manifestement !
votre avatar
Et à quand sur Next la double auth :P
votre avatar
L'authentification à double facteur est sous traitée à la Poste.
votre avatar
Erf, chaque tentative sera expirée alors :P
votre avatar
votre avatar
J'ai été bloqué par le proxy pour poster ma connerie, merci :p
votre avatar
votre avatar
Le sous-titre... il n'y a bien que Sébastien pour pouvoir dire ça :D





Et l'arcom !
votre avatar
Lié à l'enquête sur la vérification de l'âge des sites prOn :)
votre avatar
N'empêche que tous ces malandrins ont encor de beaux jours devant eux : « Ne cliquez jamais sur un lien ou une pièce-jointe qui vous semblent douteux. Ne répondez jamais à un courriel suspect. Au moindre doute, contactez l’expéditeur par un autre canal » nous dit l'Ansii.
Sont bien gentils, mais ils oublient de nous préciser comment on reconnait une pièce jointe ou un lien douteux.
Un vrai conseil serait sans doute de dire que l'on ne clique JAMAIS sur un lien reçu par mail ou autre messagerie et que l'on n'ouvre une pièce jointe que si on l'attend… Inutile et dangereux de se prendre la tête avec des analyses sémantique que 99,9% de la population est incapable de faire…
votre avatar
Merci pour toutes ces explications.
Avoir un mot de passe solide et différent pour chaque compte, sans le noter nulle part peut être un vrai casse-tête.
J'ai mis au point un système de carte à imprimer, qui permet d'avoir des mots de passes forts en ne retenant qu'un seul schéma : https://www.mokauno.net/easypassword-fr/
votre avatar
Pour ma part, j'utilise le générateur aléatoire de mdp de firefox et je sauvegarde ma base régulièrement sur des supports distincts (et hors réseau).
Mais ton système est brillamment génial de simplicité. Bravo !
votre avatar
Il faut utiliser un gestionnaire de mots de passe.
Je conseille KeepassXC.
votre avatar
Merci pour cette suggestion :)
Cela semble orienté PC. J'ai personnellement souvent besoin de mes mots de passe alors que je n'ai que mon smartphone sous la main...
Je vais malgré tout m'interesser aux gestionnaires de mots de passe.
votre avatar
Pour le mobile, j'utilise Keepass2Android (avec la même base de mots de passe).
votre avatar
Merci, je vais regarder tout ça :)
votre avatar
Alors perso, tout ce qui est document and co, je filigrane tout avec un type donné :
Mois Année - pour qui
Genre
12 2025 - Next.ink

J'utilise Stirling en auto-hébergé
votre avatar
Est ce qu'il y a un site web qui récapitule quelque part des actions à faire pour ne donner que des documents temporaires et jamais les "vrais" ?
Exemples :
Justificatif d'identité à usage unique : france-identite.gouv.fr République Française
Conformité d'un avis d'impôts : impots.gouv.fr République Française
Filigrane des autres documents : https://filigrane.beta.gouv.fr/
votre avatar
l'apposition du filigrane est excellente. Merci pour ces liens ! :chinois:
Par contre, on ne peut pas installer FI sur nos S9 car samsung refuse la màj d'android au delà de la v10, alors que matériellement rien ne s'y oppose...
votre avatar
On peut utiliser cet outil officiel pour filigraner des documents qu'on doit transmettre (à un service legitime, évidemment).
https://filigrane.beta.gouv.fr/

Edit: j'ai été doublé par plus rapide que moi !

Quels sont les risques liés aux multiples fuites de vos données personnelles ?

  • Nom, prénom et adresses mail : un trio gagnant (et suffisant)

  • Ajoutez votre adresse, vous avez du phishing dans votre boite aux lettres

  • Personnaliser et cibler les attaques en fonction des données

  • Avec les données bancaires, attention à vos sous

  • Effet boule de neige si le mot de passe fuite

  • Le cas des documents d'identité officiels

  • Les secrets inavouables ou honteux

  • Chantage : ne répondez pas et ne payez pas

  • Prenez toujours le temps… surtout si on vous presse !

Fermer