Pour pirater une base de données, un cybercriminel doit trouver puis exploiter une faille dans le système. Si la vulnérabilité est totalement passée inaperçue jusqu’à son utilisation, on l’appelle « zero day ». Impossible de l’anticiper.
À lire aussi :
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !
En revanche, si elle était connue des services gérant la base en question et qu’elle a été laissée telle quelle, c’est tout de suite plus problématique. Voilà ce qui se serait passé dans le cadre du piratage de l’Agence Nationale des Titres Sécurisés. En tout cas selon Léo Gonzalez, expert en cybersécurité dont l’entreprise est basée à Montpellier.
L’ANTS aurait eu connaissance de failles de sécurité avant son piratage
Le spécialiste explique avoir signalé des failles à l’ANTS et constaté que rien n’a été fait pour les combler. « Je leur ai remonté déjà deux failles de sécurité critiques qui n’ont jamais été corrigées, il y en a une qui est toujours disponible ce matin [après le piratage, ndlr] et qui fait directement le lien avec celle qui a été utilisée sans doute par les pirates […] . »
L’un des collègues de Léo Gonzalez est même « quasi certain » d’avoir déjà vu la faille incriminée. Sauf qu’il « n’a pas osé la remonter, parce qu’il n’a pas pu essayer de l’exploiter. C’est un peu comme quand on voit une porte mal fermée, on n’a pas le droit légalement de la franchir. »
En attendant, les 12 millions de comptes concernés sont bel et bien dans la nature. Il est conseillé de changer son mot de passe de connexion à l’ANTS et d’être particulièrement vigilant dans les prochaines semaines. Avec autant d’informations personnelles, il faut craindre le lancement de campagnes de phishing ciblées par SMS ou mail.
À lire aussi :
On a essayé de m’arnaquer avec une photo IA et un vocal envoyés par SMS : attention à cette nouvelle mode très piégeuse
Les bons réflexes en cas de piratage
Si vous avez été victime d’un piratage ou d’une fuite de données, quelques bonnes pratiques sont à garder en tête pour mieux vous protéger. Frandroid en a fait une liste :
- Changer sans attendre les mots de passe des comptes concernés ;
- En profiter pour changer aussi les mots de passe identiques ou similaires sur d’autres services ;
- Utiliser des mots de passe uniques et solides (avec, pourquoi pas, un gestionnaire de mots de passe) ;
- Activer la double authentification (2FA) partout où c’est possible ;
- Activer les Passkeys quand c’est possible ;
- Dans les semaines à venir, se méfier des emails, SMS ou appels suspects, même s’ils semblent crédibles ;
- Ne jamais cliquer sur un lien ou télécharger une pièce jointe en cas de doute ;
- Prévenir ses contacts si le piratage peut les concerner ;
- Mettre à jour ses appareils et logiciels pour corriger d’éventuelles failles de sécurité ;
- En cas de virements frauduleux, faire un signalement sur la plateforme Perceval.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.