La plateforme musicale française a vu des données de 250 millions de comptes refaire surface, après avoir été volées en 2019.Face aux failles de sécurité des applications, les utilisateurs sont parfois impuissants.Mais certains principes de précaution peuvent s'avérer utiles.
Passé sous les radars pendant des années, ce piratage vient de ressurgir. La plateforme française de streaming musical Deezer a découvert ces dernières semaines la mise en ligne d'un fichier contenant des données de 250 millions de comptes, qui auraient été volées en 2019 chez un de ses prestataires. Si aucune information "sensible" ne figure parmi ces données, cet incident met en lumière les failles des applications : ces derniers mois, Uber ou encore Mc Donald's ont aussi essuyé des cyberattaques.
Elles ne surprennent pourtant pas les experts. "Les applis ou sites web se basent sur des logiciels composés de milliers voire de millions de lignes de codes. Or quand on les écrit, c’est un peu comme quand on écrit un livre, on peut faire des fautes de grammaire ou d'orthographe. Par mégarde, des vulnérabilités peuvent apparaître dans les logiciels, ce qui ouvre la porte aux pirates", explique auprès de TF1info Gérôme Billois, expert en cybersécurité au sein du cabinet de conseil Wavestone, et auteur du livre Les cyberattaques : les dessous d’une menace mondiale (Hachette, 2022).
Face à ces risques, les utilisateurs peuvent se sentir démunis, découvrant les failles de sécurité après coup, au moment où les entreprises décident de communiquer sur le sujet. Mais certains réflexes peuvent quand même permettre de limiter les dégâts.
Livrer le moins d'informations possible
La première règle consiste à renseigner le moins d'informations possible lorsque vous téléchargez une application, parfois sur abonnement. "Une fois que l'on a mis quelque chose sur internet, on ne peut jamais être sûr que cela ne sera pas piraté un jour. Le bon réflexe, c’est donc d’en mettre le moins possible", explique le spécialiste. Florence Sèdes, professeure d'informatique à l'Université des Sciences Toulouse 3 et spécialiste de la protection des données personnelles, recommande aussi de "n'enregistrer aucune carte bancaire sur les applications, ni même de code pour se connecter".
Reste que certaines applications nécessitent de nombreuses données personnelles, par exemple celles de livraison de repas ou de déplacements. "Difficile sur celles-ci d'éviter d'être tracé grâce à la géolocalisation, même si vous la bloquez par défaut. Certaines applications utilisent même la géolocalisation de la carte SIM", explique la spécialiste.
Choisir des mots de passe différents
Que ce soit sur les applications, ou sur Internet en général, choisir le même mot de passe pour chaque service est très dangereux : si l'un d'eux fuite, le hacker aura accès à tous vos autres comptes. Privilégiez donc des codes d'entrée différents, et renseignez-les au besoin dans un coffre-fort pour ne pas tous les mémoriser. Florence Sèdes encourage même à utiliser plusieurs adresses mails. "Si la branche est pourrie, vous la coupez : en cas de doute, vous pouvez ne plus consulter une de vos boîtes mails", appuie-t-elle. "Il faut faire en sorte que les hackers ne puissent pas recouper vos différentes informations."
Faire le ménage parmi ses comptes
Les experts recommandent aussi de vous séparer définitivement des comptes que vous n'utilisez plus. "On laisse des données partout, sans jamais les effacer", déplore Gérôme Billois. Lorsque vous vous désabonnez, supprimez votre compte et votre application pour ne pas laisser des données en sommeil, ce qui permet au maximum de limiter les risques, même si certaines sociétés conservent parfois vos informations une fois votre compte clôturé.
Quant aux applications de messagerie et réseaux sociaux, "il n'y a pas de confidentialité ultime sur internet, tout ce qu'on écrit, y compris les messages privés ou temporaires, peuvent resurgir en cas de piratage", poursuit-il. Mais il ne faut pas pour autant basculer dans la psychose : si un message pourrait être dévoilé au grand public sans que cela vous gêne, vous pouvez le conserver.
Vérifier et signaler
S'il est difficile pour les utilisateurs d'avoir la main sur la gestion de leurs données sur les applications, ils peuvent toutefois passer au peigne fin leurs conditions générales d'utilisation, et vérifier qu'elles appliquent la réglementation RGPD qui renforce la sécurité du stockage de données, si elles sont domiciliées en Europe. La vigilance est d'autant plus de mise qu'il est "fort probable que certaines entreprises ne communiquent pas sur les fuites, par peur pour leur réputation", note Florence Sèdes.
Aucun outil grand public ne permet pour l'heure de vérifier la fiabilité d'un site ou d'une application. "Le gouvernement réfléchit à créer Cyberscore, sur le modèle du Nutriscore, mais sa mise en œuvre est complexe", explique Gérôme Billois. Reste tout de même le site anglophone Have I Been Pwned, considéré comme le plus fiable, qui vous permet de savoir si votre adresse mail a déjà fait l'objet de tentatives de piratage. Et en cas de problème sur une application, vous pouvez aussi le signaler auprès de la plateforme gouvernementale dédiée aux cyberattaques, Cybermalveillance.
En cas de problème, changer de mot de passe
Si malgré tout cela, vous recevez un message vous informant que vos données ont fuité sur l'une de vos applications, le premier réflexe à avoir est de changer son mot de passe, voire d'abandonner l'adresse mail avec laquelle vous vous êtes inscrit si vous en avez plusieurs. Si vous devez la conserver, redoublez de vigilance face à de possibles arnaques envoyées par mail : un ton empressé, des renvois vers des sites ou des demandes d'informations supplémentaires (carte bancaire, adresse) doivent vous alerter.
Dans le cas de Deezer, le risque reste faible puisque les mots de passe n'ont pas été dérobés, mais les utilisateurs pourront recevoir à l'avenir des messages d'hameçonnage très ciblés basés sur leurs goûts musicaux, leur faisant miroiter par exemple le concert d'un de leur groupe préféré, pour tenter ensuite de les arnaquer.