La France est le 4ᵉ pays le plus touché par les cyberattaques avec notamment des fuites de donnés à répétition qui auront rythmé l’année 2024. De nombreux secteurs d’activité, publics ou privés et de grandes entreprises et organisations tels que Free, France Travail, Viamedis et Almerys, Boulanger, Cultura et tant d’autres ont été ciblés par des violations de données massives, impactant les informations personnelles de dizaines de millions de Français.

Or les atteintes à la protection des données des entreprises sont une porte d'entrée pour l'usurpation d'identité, mais elles ne sont pas les seules.

La mauvaise nouvelle, c'est qu'il ne s'agit là que de la partie émergée de l'iceberg. Vos informations personnelles identifiables (IPI) peuvent tomber entre de mauvaises mains de bien d'autres façons. Une fois qu'elles circulent dans le milieu de la cybercriminalité, ce n'est qu'une question de temps avant qu'elles ne soient utilisées dans des tentatives d'usurpation d'identité.

Quelles sont les données recherchées ?

Il peut s'agir de...

  • Vos noms et adresses
  • Vos numéros de cartes de crédit ou de paiement
  • Vos numéros de sécurité sociale
  • Vos numéros de comptes bancaires
  • Vos données de mutuelle
  • Votre passeport/permis de conduire
  • Vos identifiants de connexions à des comptes en ligne personnels ou d'entreprise

Une fois que vos données personnelles ont été volées, que ce soit dans le cadre d'une violation massive de données ou par l'une des nombreuses méthodes énumérées ci-dessous, ces données seront probablement vendues ou données à d'autres pour être utilisées dans divers systèmes de fraude. Il peut s'agir d'achats illégaux, de reprises de compte, de fraudes à l'ouverture de compte ou de tentatives d'hameçonnage visant à obtenir des informations encore plus sensibles.

Dans certains cas, des informations réelles sont mélangées à des informations générées par des machines pour créer des identités synthétiques plus difficiles à bloquer par les filtres anti-fraude.

Il s'agit d'une activité importante. Selon Javelin Strategy & Research, les fraudes et escroqueries à l'identité ont coûté 47 milliards de dollars aux Américains rien qu'en 2024.

Comment fonctionne l'usurpation d'identité ?

L'usurpation d'identité se résume en fin de compte à des données. Mais toute la complexité réside dans la façon dont les cybercriminels peuvent obtenir les vôtres. En mettant donc à part les données dérobées à des organisations/entreprises tierces qui détiennent certaines de vos informations sensibles, quels sont les autres principaux vecteurs d'attaques ?

  • Phishing/smishing/vishing : les attaques classiques d'ingénierie sociale peuvent passer par différents canaux, allant du phishing traditionnel par courrier électronique aux textos (smishing) et même aux appels téléphoniques (vishing). Le malfaiteur utilise généralement des techniques éprouvées pour vous inciter à faire ce qu'il souhaite, c'est-à-dire cliquer sur un lien malveillant, fournir des informations personnelles ou ouvrir une pièce jointe dangereuse. Ces techniques comprennent l'utilisation d'une marque “officielle” pour usurper l'identité d'une entreprise ou d'une institution connue, ainsi que des techniques telles que l'usurpation de l'identité de l'expéditeur ou du nom de domaine.
  • Le web skimming (ou écrémage numérique) : pour s'emparer des données de votre carte, les escrocs peuvent insérer un code malveillant dans les pages web d'un site de commerce électronique populaire ou d'un site similaire. L'ensemble du processus est totalement invisible pour la victime.
  • Wi-Fi public : les réseaux Wi-Fi publics non sécurisés peuvent faciliter les attaques de type « man-in-the-middle » qui permettent d'intercepter vos informations personnelles. Les pirates peuvent également mettre en place des points d'accès malveillants pour collecter des données et rediriger les victimes vers des sites malveillants.
  • Logiciels malveillants : les logiciels malveillants de type « Infostealer » constituent un problème croissant, tant pour les entreprises que pour les particuliers. Ils peuvent être installés à leur insu par le biais de divers mécanismes, notamment des messages d'hameçonnage, des téléchargements à partir de sites web infectés, des jeux piratés, des publicités Google ou même des applications d'apparence légitime telles que de faux logiciels de réunion. La plupart des voleurs d'informations récupèrent des fichiers, des flux de données, des détails de cartes, des actifs cryptographiques, des mots de passe et des saisies au clavier.
  • Malvertising : les publicités malveillantes peuvent être programmées pour voler des informations, parfois sans même d'interaction de l'utilisateur.
  • Sites web malveillants : Les sites d'hameçonnage peuvent être usurpés pour donner l'impression d'être légitimes, allant jusqu’à utiliser un faux domaine. Dans le cas des téléchargements « drive-by », il suffit à l'utilisateur de visiter une page malveillante pour que l'installation d'un logiciel malveillant commence. Souvent, les sites web malveillants sont propulsés en tête des classements de recherche afin d'être plus visibles, grâce à des techniques de référencement douteuses.
  • Applications malveillantes : les logiciels malveillants, y compris les chevaux de Troie bancaires et les voleurs d'informations, peuvent être déguisés en applications légitimes, les risques étant particulièrement élevés en dehors des boutiques d'applications officielles comme Google Play.
  • Perte/vol d'appareils : si votre appareil disparaît et qu'il n'est pas protégé de manière adéquate, des pirates informatiques peuvent s'en emparer pour récupérer des données personnelles et financières.

Comment prévenir la fraude d'identité

La façon la plus évidente de prévenir la fraude d'identité est d'empêcher les malfaiteurs d'accéder à vos informations personnelles et financières. Pour ce faire, il faut prendre une série de mesures qui, lorsqu'elles sont appliquées ensemble, permettent d'atteindre cet objectif. En voici quelques exemples :

  • Des mots de passe forts et uniques : choisissez un mot de passe différent pour chaque site/application/compte, et stockez-les dans un gestionnaire de mots de passe qui les stockera de façon sécurisée pour vous. Ajoutez une brique de sécurité en plus en activant l'authentification à deux facteurs (2FA) sur vos comptes en ligne. Cela signifie que, même si un acteur malveillant obtient votre mot de passe, il ne pourra pas accéder à votre compte. Une application d'authentification ou une clé de sécurité matérielle est la meilleure option pour l'authentification à deux facteurs.
  • Installez une suite de sécurité : choisissez un éditeur de sécurité réputé pour protéger tous vos appareils et ordinateurs. Celui-ci analysera et bloquera les applications et les téléchargements malveillants, détectera et bloquera les sites web d'hameçonnage et signalera les activités suspectes, entre autres choses.
  • Soyez méfiant : faites preuve de vigilance lorsque vous recevez un message non sollicité demandant une action rapide, contenant des liens cliquables ou des pièces jointes à ouvrir. L'expéditeur peut avoir recours à des astuces telles que des tirages au sort à des dates précises ou des avertissements indiquant qu'une amende sera perçue si vous ne répondez pas dans les plus brefs délais.
  • N'utilisez que des applications provenant de sites légitimes : dans le monde mobile, contentez-vous de l'App Store d'Apple et de Google Play, afin de limiter votre exposition aux applications malveillantes. Vérifiez toujours les évaluations et les autorisations avant de les télécharger.
  • Méfiez-vous des réseaux Wi-Fi publics: évitez les réseaux Wi-Fi publics ou, si vous ne pouvez pas faire autrement, essayez de ne pas vous connecter à des comptes sensibles. Dans tous les cas, utilisez un VPN pour plus de sécurité.

Comment réagir à une violation de données ?

Il n'y a pas grand-chose que vous puissiez faire contre les violations de données provenant de tiers, à part choisir de ne pas sauvegarder votre carte de paiement et vos données personnelles lorsque vous achetez des articles. Cela signifie qu'il y aura moins de choses à dérober pour les malfaiteurs, dans l'optique où ils parviendraient à s’immiscer dans la brèche d’une entreprise qui détient vos informations personnelles.

Toutefois, il est également utile d'adopter une approche proactive. Certaines solutions de sécurité proposent un service de protection de l'identité et recherchent vos données sur le « dark web ». Cela vous permet de savoir quelles données ont fuité et surtout d’obtenir une procédure d’actions à mettre en place (faire opposition à une CB, changer vos mots de passe, entre autres précautions). Il est également indispensable de surveiller les activités suspectes sur vos comptes bancaires.

D'autres mesures pourraient être prises à la suite d'une attaque/usurpation d’identité :

  • Geler vos comptes : cela empêche de communiquer votre dossier de crédit à des tiers, ce qui signifie que les fraudeurs ne peuvent pas ouvrir de nouveaux comptes à votre nom.
  • Informer votre banque : bloquez vos cartes (vous pouvez le faire via la plupart des applications bancaires), signalez la fraude et demandez des cartes de remplacement.
  • Porter plainte : prévenez la police et signalez votre problème auprès de cybermalveillance.gouv.fr : ce dispositif national aide toutes les victimes d’actes de malveillance en ligne et offre un diagnostic et un accompagnement sur-mesure.
  • Modifier vos identifiants : changez tout identifiant compromis et activez la fonction 2FA.

L'usurpation d'identité reste une menace parce qu'il est relativement facile pour les malfaiteurs d’y avoir recours et de générer du profit. En réduisant les moyens possibles pour extraire nos informations personnelles, nous pouvons les décourager et, espérons-le, assurer la sécurité de nos vies numériques.