Tech & internet

Comment les piratages successifs ont changé ma façon d'être sur internet

Yahoo! s'est fait voler les données d'un milliard d'utilisateurs, c'est le dernier d'une longue liste à s'être fait pirater. De quoi commencer à paniquer.

<a href="https://www.flickr.com/photos/sarabbit/4549185468/in/photolist-N6JjD-4PXXYp-97fftc-7VZLmd-9VoymL-9VoycE-7TTg2Y-97BMFB-jbqzY-61bwVJ-6ZvjUt-61bysG-617ktB-7zxwmK-Kzbc9-7ZW5S5-FmUrFW-5xELcQ-5QVBoo-5vuRu-68P1a-9VkHNc-5o2yNQ-bsz8LL-c5uRyo-ffq8Z8-4Gfcyr-ksKe6-tYqst-4sSiGP-4wo8PS-eSxQ6">ATC - "dont panic" - traded</a> | Sarah via Flickr CC <a href="https://creativecommons.org/licenses/by/2.0/deed.fr">License by</a>
ATC - "dont panic" - traded | Sarah via Flickr CC License by

Temps de lecture: 5 minutes

Je suis allé deux fois sur mon compte Yahoo! cette année. La première fois, c'était pour changer mon mot de passe au mois de septembre, après l'annonce que 500 millions de comptes avaient été compromis. Cela ne me semblait être qu'une précaution, je ne savais pas si mon vieux compte était concerné ou non par le problème.

La deuxième, c'était ce 15 décembre, quelques heures après l'annonce du piratage d'un milliard de comptes d'utilisateurs, l'un des plus gros vol de données de l'histoire, pour vérifier que personne d'autre que moi ne s'y était connecté. Parce qu'en plus de cette nouvelle révélation, une autre annonce toute aussi réjouissante précisait que le premier piratage, révélé en septembre, était finalement un peu plus grave que prévu, et qu'en plus des 500 millions de comptes compromis, les pirates avaient également falsifié des «cookies», ce qui a pu leur permettre d'accéder aux boîtes mails des utilisateurs. Et donc potentiellement, la mienne.

Yahoo! n'est pas le seul sur le banc des accusés. Rien que cette année, «les internautes ont également appris que leurs données avaient été volées sur des sites aussi majeurs que LinkedIn, Dropbox, Myspace ou encore Tumblr. Des fuites issues de piratages parfois anciens (elles remontent à 2012 pour ­LinkedIn, ou à 2013 pour Tumblr), mais dont les données n’ont émergé que ces derniers mois», écrivait Le Monde, au début du mois.

Cela fait un moment que j'ai abandonné certains des comptes que j'ai sur ces sites. J'en utilise d'autres encore régulièrement de façon plus sporadique mais, à chaque fois, je vérifie qu'aucune information compromettante ne se trouve dedans. Une part de moi est un peu parano et se demande si quelque chose pourrait en ressortir: et si ses comptes servent ensuite à de la fraude ciblée ou de l'usurpation d'identité en ligne? Et si certains s'en servaient pour de l'espionnage et de l'extorsion d'informations? Les cas sont désormais nombreux, détaille Le Figaro.

«Près de 150.000 comptes de membres des renseignements américains sont ainsi directement concernés par le piratage de Yahoo!. Ces derniers auraient donné pour adresse de secours leur adresse mail professionnelle, dont la structure est facilement identifiable. L'identification de membres du renseignement ou de leurs proches, ainsi que l'accès à leurs boîtes mails sont ensuite de bons leviers de chantage pour qui souhaite encore obtenir davantage d'informations.»

Je ne suis pas agent secret – de toute façon, je ne le dirais pas si l'étais–, mais je ne peux m'empêcher d'imaginer le pire scénario. C'est sûrement m'accorder trop d'importance étant donné les informations qui circulent dans mon adresse email mais, régulièrement, je me pose la question: et si quelqu'un qui n'apprécie pas ce que j'écris essayait de rentrer dans mes comptes? Alors je vérifie que je ne laisse rien de compromettant, qui puisse être mal interprété une fois décontextualisé, que j'utilise bien un mot de passe différent (quand ce n'est pas une phrase de passe) pour chaque service, que ma double authentification est bien activée sur Google, Facebook, Twitter ou Instagram (faites-le)... Cela relève probablement de la parano –tout comme le fait que je cache mes webcams depuis que j'ai lu cet article– mais je pense avoir mes raisons. Dernièrement, les agents secrets n'ont pas été les seuls à avoir leurs mails ciblés par des pirates.

Agents secrets, membres de partis, employés de grosses entreprises, et moi?

Côté américain, en plus du comité national du parti démocrate, le comité national républicain aurait également été piraté, ce que son chef, Reince Preibus, secrétaire général de la future Maison-Blanche continue de nier catégoriquement. Alors forcément, cela inquiète beaucoup de monde, dont Jon Lovett, ancienne plume d'Obama, qui le racontait dans Keeping it 1600, le podcast qu'il coanime.

«On va tous devoir changer de comportement en matière de cybersécurité si l'on admet que la Russie est derrière tout ça. [...] Il y a déjà un effet glaçant. Vladimir Poutine a un effet glaçant sur la liberté d'expression aux États-Unis. On parle de ce qu'on peut dire et ne peut pas dire dans un email dans des entreprises et des organisations politiques, partout. Les gens ont peur des agences de renseignements étrangères.»

Les emails piratés de nombre des Démocrates –vraisemblablement par les Russes– ont fini chez WikiLeaks, qui les a ensuite mis en ligne à la vue de tous. Une bénédiction pour certains, un drame pour d'autres, qui réalisent soudainement que tout ce qu'ils ont écrit –pensant légitimement que ces conversations étaient privées– finissent un jour par devenir publiques. Tout ça dans un contexte de révélations sur la surveillance massive effectuée par les services de renseignements du monde entier, et en particulier de la NSA aux États-Unis.

Il n'y a pas besoin d'avoir un gros niveau en informatique pour pénétrer à l'intérieur de ce type de comptes. Souvent, un petit niveau de compétence en ingénierie sociale suffit à mettre la main sur des informations très personnelles: le nom de votre mère, de votre chien, le lieu de vos dernières vacances. Et dès lors, nos vies peuvent soudainement se compliquer. Et pas que sur le plan personnel. Un ami me racontait récemment qu'il soupçonnait son patron de venir fouiller dans les ordinateurs de ses employés, une fois qu'ils étaient partis (mais il n'a aucune preuve qu'il agisse vraiment ainsi).

Résister aux tentations

Ainsi, devant les nombreuses fuites auxquelles les sites sur lesquels je suis connecté font régulièrement face, et sachant que ce que ce que je fais en ligne est potentiellement piratable, lisible par potentiellement n'importe qui, avant d'être éventuellement reposté publiquement, faut-il oublier toute notion de vie privée sur internet, et sombrer dans la paranoïa la plus totale? Fermer ses comptes? Arrêter de se plaindre de son patron dans le chat? Ne plus se moquer en privé?

Personnellement, j'essaie de faire plus attention et d'éviter d'écrire des choses dans mes messages sur mon téléphone, des chats, ou des messages privés qui pourraient plus tard me mettre dans des situations embarrassantes. Un choix qui m'amène régulièrement à m'interroger: Dois-je vraiment envoyer ce snap (sans même penser à envoyer de dick pic)? Ou poster cette photo? Est-ce que je peux me lâcher dans un mail rageur? Est-ce que je peux envoyer ce message Facebook? Qu'est-ce que je dois conserver dans le cloud du constructeur de mon smartphone sachant qu'un simple phishing peut permettre à un pirate de mettre la main sur photos, contacts, mails, notes, comme ça a été le cas lors du «Celebgate» en 2014, lorsque les photos intimes de Jennifer Lawrence, Avril Lavigne, Kirsten Dunst et d'autres avaient été rendues publiques? En clair, jusqu'où puis-je avoir confiance?

Parfois, la tentation est trop forte et je poste, malgré mes doutes. Et je sais immédiatement qu'une épée de Damoclès vient se poser au-dessus de ma tête. Mais je sais que je fais aussi un peu plus attention à chaque fois, après chaque piratage, et je scrute les adresses emails piratées, priant pour que les miennes ne soient pas dedans. Je vais vérifier dans les appareils connectés à mes comptes, pour m'assurer que rien d'étrange n'apparaisse, avant de vérifier une nouvelle fois, que j'ai bien activé l'authentification à deux facteurs. Si quelque chose se produit, au moins ce ne sera pas de ma faute.

Vous n'avez pas envie de vous justifier

Je me demande aussi s'il ne faut pas oublier les conversations dans le Gchat, celles privées, dans Slack, Campfire, ou tout autre outil de discussion instantanée, à moins d'être sûr qu'aucune d'entre elles ne puisse être mal interprétée, comme ça a été le cas pour A.J. Daulerio, l'ancien rédacteur en chef du site américain Gawker, dont certains messages ont été lus devant une cour de justice lors du procès qui l'opposait à Hulk Hogan, le catcheur qui l'attaquait pour avoir publié un morceau de sa sextape.

«Souvenez-vous qu'à un moment ces conversations pourront être découvertes pas votre patron, lors d'une découverte, ou d'une demande de la justice, ou rendue disponible à un cour de justice et au public, expliquait Fusion lors de l'affaire Hogan. Vous devrez alors vous expliquer sur les raisons qui vous ont poussées à poster cette photo de pénis non-circonsis, ce GIF débile d'Hamilton ou une blague raciste. Et vous n'avez vraiment pas envie que ça se produise.»

Dans une autre entreprise de médias, on me raconte que le responsable a rappelé aux employés que tout ce qui était publié sur ces messageries pouvait potentiellement devenir public un jour. C'est quelque chose que nous allons tous devoir apprendre: nous souvenir que sur internet, à moins de prendre nos précautions, rien n'est vraiment privé.

cover
-
/
cover

Liste de lecture