Dataleak is a Crime

Le constat est brutal

Chaque jour, des millions de comptes, adresses e-mail, mots de passe, numéros de sécurité sociale et coordonnées bancaires fuient sur Internet. Des entreprises qui stockent vos données comme on jette des chaussettes sales dans un coin. Des bases de données exposées sur le web sans protection, des mots de passe en clair, des API ouvertes en grand. Et entre nous, si vous êtes en France, la situation est particulièrement cocasse.

La sécurité informatique française : l'égouttoir national

On aimerait vous dire que vos données sont en sécurité chez nos institutions. Mais ce serait mentir. Avec autant de bienveillance qu'un administrateur système qui laisse son mot de passe sur un Post-it.

En France, les fuites de données publiques se comptent par dizaines chaque année. Des bases électorales entières mises en vente, des portails gouvernementaux vulnérables aux failles les plus basiques, et une réaction qui, quand elle arrive, ressemble à un "oops" de développeur stagiaire. La sécurité informatique de certaines de nos administrations est aussi efficace qu'un égouttoir pour retenir l'eau : on voit tout passer, et on ne retient rien.

Ce n'est pas une attaque envers les agents publics qui font leur mieux avec les moyens du bord. C'est une critique de systèmes sous-budgetés, sous-staffés, et gérés par des appels d'offres qui privilégient le moins-disant au détriment de la sécurité. Résultat : vos données finissent sur des forums russes avant même que vous ne receviez la lettre d'information de la CNIL.

Comment se protéger (ce qu'on devrait tous faire hier)

1. Activez la 2FA partout. Votre mot de passe a fuité ? Tant pis, l'attaquant est bloqué. Authentification par application (TOTP), pas par SMS si possible.
2. Utilisez un gestionnaire de mots de passe. Bitwarden, KeePass, Proton Pass... générez des mots de passe uniques et complexes pour chaque service. Si un site est compromis, les autres ne le sont pas.
3. Vérifiez vos fuites. Have I Been Pwned est votre ami. Changez immédiatement les mots de passe compromis.
4. Surveillez vos comptes. Alertes de connexion, notifications de changement de mot de passe, relevés bancaires réguliers. La paranoïa est une qualité en cybersécurité.
5. Méfiez-vous du phishing. Aucune banque ne vous demandera votre mot de passe par e-mail. Vérifiez les URL, méfiez-vous des pièces jointes, et si un message vous met la pression, c'est probablement une arnaque.
6. Chiffrez vos disques et vos sauvegardes. BitLocker, VeraCrypt, ou le chiffrement natif de votre OS. Si votre appareil est volé, vos données restent illisibles.

Contre-mesures pour les entreprises

Si vous gérez un service qui stocke des données utilisateurs, voici le minimum vital avant de mériter le moindre centime de confiance :

• Chiffrement au repos et en transit. TLS 1.3, chiffrement des bases de données, pas de données sensibles en clair nulle part.
• Hachage fort des mots de passe. Argon2id, bcrypt ou scrypt. Pas de MD5, pas de SHA1, et surtout pas de stockage en clair. On vous regarde, développeurs de 2010.
• Principe du moindre privilège. Un développeur n'a pas besoin d'accès à la production. Un commercial n'a pas besoin des logs système.
• Pentesting régulier. Faites auditer votre infrastructure par des experts. Ce n'est pas une dépense, c'est une assurance.
• Plan de réponse aux incidents. Quand (pas si) une fuite arrivera, vous aurez 72 heures pour notifier la CNIL. Préparez vos procédures avant, pas pendant.
• Anonymisation par défaut. Collectez le minimum de données nécessaires. Supprimez ce dont vous n'avez plus besoin. Le RGPD n'est pas une suggestion.