Pour ce troisième épisode, nous allons nous mettre dans la peau d’un pirate pour comprendre à quel point nous nous mettons en danger et comment nous en prémunir.
(Le script est mon guide lors de l’enregistrement, qui parfois s’en éloigne en fonction de l’inspiration).
Bonjour et bienvenue dans Survie Numérique.
La liberté, le respect de la vie privée et le fait d’être en sécurité sont à la base de nos démocraties. Mais aujourd’hui ces valeurs sont remises en question par les « acteurs du numérique ». Cette baladodiffusion vous aide à protéger votre vie privée, à sécuriser vos données et à reprendre le contrôle sur le numérique. Notre objectif : plus de liberté et de minimalisme, le tout avec un minimum de jargon technique, mais avec joie et bonne humeur. Le principe : un podcast brut de décoffrage, sans montage, sans musique et sans compromis. Je suis survivant numérique, j’ai un script à la main et parfois je le lis, parfois je m’en inspire, alors bienvenue dans Survie Numérique. Aujourd’hui, nous allons faire quelque chose d’un peu inhabituel. Nous allons nous mettre dans la peau d’un pirate.
Pas pour apprendre à pirater, bien sûr. Mais pour comprendre comment un pirate pense. C’est ce qu’on appelle le hacking éthique : utiliser les mêmes techniques que les attaquants pour identifier et fermer les failles de sécurité avant qu’elles ne soient exploitées.
Le but de cet épisode est simple : comprendre comment, en utilisant uniquement des informations publiques, un pirate peut assembler les pièces du puzzle pour voler vos comptes, votre identité, ou vos données.
Car la vérité, c’est que vous êtes beaucoup plus transparent que vous ne le pensez. Et ce n’est pas parce que vous avez un bon antivirus ou un mot de passe complexe que vous êtes en sécurité.
Préparez-vous à voir votre présence en ligne sous un jour nouveau.
PARTIE 1 : L’OSINT – LA COLLECTE DE RENSEIGNEMENTS
Commençons par le début. Comment un pirate commence-t-il une attaque ?
Contrairement à ce que l’on imagine souvent, il ne commence pas par essayer de deviner votre mot de passe. Il ne commence pas par casser un code. Il commence par vous chercher.
Cette phase s’appelle l’OSINT : Open Source Intelligence. C’est l’art de collecter des informations publiques pour construire un profil complet d’une cible.
Imaginez que vous soyez un détective privé. Vous voulez en savoir plus sur quelqu’un. Vous tapez son nom dans un moteur de recherche. Vous regardez ses profils LinkedIn, Twitter, Facebook. Vous cherchez des articles de presse locale, des mentions dans des forums, des photos publiques.
C’est exactement ce que fait un pirate. Sauf que lui, il ne cherche pas à vous connaître. Il cherche des failles.
Il tape votre nom, votre adresse email, votre pseudo de jeu vidéo. Il regarde vos photos, vos posts, vos amis, vos likes. Il déduit vos centres d’intérêt, votre lieu de travail, le nom de votre animal de compagnie, le nom de votre rue, vos habitudes.
Tout ça, c’est ce qu’on appelle votre surface d’attaque. Plus elle est grande, plus vous êtes vulnérable.
Si vous avez posté une photo de votre chat avec son nom, c’est une faille. Pourquoi ? Parce que « Félix » est souvent la réponse à la question de sécurité « Quel était le nom de votre premier animal ? ».
Si vous avez tweeté « Joyeux anniversaire Maman ! » avec une photo, le pirate connaît le nom de votre mère. Si vous avez mentionné votre date de naissance complète, il peut deviner vos mots de passe.
Chaque information que vous partagez publiquement est une pièce du puzzle que le pirate va assembler.
PARTIE 2 : LA RECHERCHE DE VOTRE EMAIL
Imaginons maintenant que je veuille accéder à votre compte de courrier principal. Voici les étapes que je suivrais.
Étape 1 : La recherche de votre email.
Je tape « [Votre Prénom] [Votre Nom] » sur un moteur de recherche. Je trouve votre profil LinkedIn, votre profil Twitter, peut-être un article de journal local. Je récupère votre adresse email professionnelle ou personnelle.
C’est facile. Tout le monde a un profil LinkedIn. Tout le monde a laissé une trace quelque part.
Maintenant, je prends cet email et je le teste sur des sites comme Have I Been Pwned. Ce service existe depuis 2013, et il est dirigé par son fondateur, Troy Hunt, un expert australien devenu une référence mondiale sur les fuites de données.
Ce service gratuit permet de savoir si vos données personnelles ont été divulguées lors de vols de données et de piratages. Il est très simple à utiliser : vous entrez votre adresse email, et le service cherche parmi plus de 10 milliards de lignes de données collectées issues de fuites.
Si votre email a été compromis, le site indique dans quelle fuite il se trouvait, son historique, et quels autres types d’informations y étaient associés.
Pour des raisons de sécurité, les recherches se font sur des bases de données épurées, où il ne reste que l’adresse email. Les mots de passe ne sont pas affichés directement, mais le service vous alerte si votre email a été exposé.
Disons que votre email apparaît dans une fuite de données de 2019, provenant d’un site de forum de cuisine. Et dans cette fuite, il y a un mot de passe associé.
PARTIE 3 : L’ATTAQUE PAR CREDENTIAL STUFFING
C’est là que le piège se referme.
Si vous utilisiez ce mot de passe sur ce forum, et que vous l’avez aussi utilisé sur votre banque, votre Amazon, votre PayPal… le pirate a déjà la clé.
C’est ce qu’on appelle l’attaque par « Credential Stuffing ». Le pirate prend l’email et le mot de passe compromis, et les teste sur des centaines de sites.
Pourquoi ça marche ? Parce que la majorité des gens réutilisent les mêmes mots de passe sur plusieurs sites. C’est une erreur fatale.
Le pirate n’a pas besoin de casser votre mot de passe. Il a juste besoin de le tester là où vous l’avez réutilisé.
Si le mot de passe ne marche pas, je passe à l’étape suivante : l’ingénierie sociale.
PARTIE 4 : L’INGÉNIERIE SOCIALE
Je regarde vos photos Instagram. Je vois que vous avez posté « Joyeux anniversaire Maman ! ». Je vois le nom de votre mère.
Je vais sur votre compte de banque. Je clique sur « Mot de passe oublié ». La question de sécurité est souvent : « Quel est le nom de votre mère ? ».
Si vous avez répondu « Bernadette » il y a 10 ans, le pirate a la réponse. Il réinitialise votre mot de passe, et il est dedans.
C’est terrifiant, mais c’est courant. Beaucoup de gens répondent honnêtement aux questions de sécurité. Ils ne réalisent pas que ces réponses sont des informations publiques.
Heureusement, vous n’avez jamais tweeté « Je viens de créer mon nouveau mot de passe pour le sport : MonChien1990 ! ». Mais beaucoup de gens le font. Ils partagent des indices sans s’en rendre compte.
PARTIE 5 : LES MÉTADONNÉES ET LES PHOTOS
Il y a un autre aspect que beaucoup ignorent : les métadonnées dans les photos.
Quand vous prenez une photo avec votre téléphone, le fichier contient des informations cachées appelées EXIF. Ces données incluent :
- La date et l’heure de la prise de vue
- Le modèle de l’appareil
- Parfois, la localisation GPS exacte
Si vous partagez une photo de votre maison sur les réseaux sociaux, et que les métadonnées ne sont pas supprimées, un pirate peut connaître l’adresse exacte où la photo a été prise.
C’est pour cela qu’il est crucial de désactiver la géolocalisation dans l’appareil photo, ou d’utiliser des outils qui nettoient les métadonnées avant de partager une image.
PARTIE 6 : QUATRE RÈGLES POUR RÉDUIRE VOTRE SURFACE D’ATTAQUE
Alors, que faire pour fermer ces portes ? Voici quatre règles essentielles.
Règle 1 : Le principe du « Moindre Privilège »
Ne partagez pas d’informations personnelles sur les réseaux publics. Pas de nom de rue, pas de nom d’animaux, pas de date de naissance complète, pas de photos de vos documents d’identité.
Si vous avez des anciennes photos qui contiennent des informations sensibles, supprimez-les ou changez les paramètres de confidentialité pour que seuls vos amis les voient.
Règle 2 : Vérifiez vos fuites
Allez sur Have I Been Pwned. Tapez votre email. Si vous êtes dans une fuite de données, changez immédiatement le mot de passe de ce compte et de tous les autres où vous l’avez utilisé.
Faites cela régulièrement. Les fuites de données sont continues.
Règle 3 : Changez les questions de sécurité
Ne répondez jamais à la question de sécurité par la vérité. Si on vous demande « Nom de votre mère », répondez « XyZ#99 ». Et notez cette réponse dans votre gestionnaire de mots de passe.
Traitez les questions de sécurité comme des mots de passe. Elles doivent être complexes, uniques, et stockées de manière sécurisée.
Règle 4 : Utilisez un alias d’email
Pour vous inscrire sur des sites douteux, n’utilisez pas votre email principal. Utilisez un alias (avec Proton Pass, SimpleLogin, ou d’autres services).
Si le site se fait pirater, votre email principal reste sécurisé. Vous pouvez simplement désactiver l’alias sans perdre l’accès à vos autres comptes.
PARTIE 7 : L’EXERCICE PRATIQUE
Maintenant, je vous invite à faire cet exercice vous-même.
Prenez votre téléphone. Ouvrez un moteur de recherche respectueux de la vie privée comme Startpage ou DuckDuckGo. Tapez votre nom complet entre guillemets. Par exemple : « Jean Dupont ».
Regardez bien les résultats. Y a-t-il des informations que vous ne vouliez pas rendre publiques ? Votre adresse ? Votre numéro de téléphone ?
Si vous trouvez votre numéro sur un annuaire inversé, contactez l’annuaire pour demander sa suppression. Demandez à vos amis de ne pas taguer la photo de votre maison.
C’est un vrai travail de détective. Et c’est le meilleur moyen de se protéger.
PARTIE 8 : COMPLÉMENTS ESSENTIELS
Pour aller plus loin, voici quelques compléments importants que je n’ai pas mentionnés plus tôt.
Utilisez un gestionnaire de mots de passe. C’est indispensable. Un gestionnaire comme Bitwarden, KeePassXC, ou Proton Pass vous permet d’avoir des mots de passe complexes et uniques pour chaque compte, sans avoir à les mémoriser.
Activez l’authentification à deux facteurs (2FA). Même si un pirate obtient votre mot de passe, il ne pourra pas se connecter sans le second facteur. Privilégiez les applications d’authentification (comme Authy, Raivo, ou Aegis) plutôt que les SMS, qui sont vulnérables au SIM swapping.
Vérifiez les mots de passe enregistrés dans votre navigateur. Les navigateurs comme Chrome ou Firefox enregistrent souvent vos mots de passe. Vérifiez cette liste régulièrement et supprimez les comptes obsolètes.
Méfiez-vous des notifications push. Certaines applications envoient des notifications qui contiennent des informations sensibles. Désactivez les notifications pour les applications bancaires ou sensibles.
Utilisez la recherche avancée. Les pirates utilisent des opérateurs de recherche avancée comme site:, filetype:, ou intext: pour trouver des informations spécifiques. Soyez conscient de ce que ces opérateurs peuvent révéler sur vous.
CONCLUSION
La sécurité, c’est de la conscience. Plus vous savez ce qu’un pirate peut voir, mieux vous pouvez vous protéger.
Vous êtes beaucoup plus transparent que vous ne le pensez. Chaque photo, chaque post, chaque commentaire est une donnée qui peut être utilisée contre vous.
Mais vous n’êtes pas impuissant. En appliquant ces règles, en réduisant votre surface d’attaque, en utilisant les bons outils, vous pouvez reprendre le contrôle.
Ne laissez pas votre vie privée être négociée par des algorithmes. Soyez conscient. Soyez vigilant. Soyez proactif.
Rappelez-vous : Praemonitus praemunitus. Prévenu, à demi armé.
Restez vigilants, et protégez vos données. Bonne journée.