Si le vol de données confidentielles n’a pas attendu l’ère de la transformation numérique pour exister, il est en passe de trouver aujourd’hui une nouvelle dimension, via le doxing et le chantage à la publication d’informations sensibles.

Le doxing (parfois orthographié doxxing) consiste à rendre publiques sur internet des informations personnelles qui ont été volées sur les serveurs, les PC ou les Smartphones.

Des activistes aux criminels

Cette pratique est d’abord apparue dans le but de nuire à une personne désignée. Les informations tiennent en général à son identité, son adresse, son numéro de sécurité sociale, son numéro de compte bancaire, etc. Mais elles peuvent s’étendre à ses identifiants sur les réseaux sociaux, ses mots de passe, ou ses données bancaires. Les « doxers » rendent ainsi leur victime vulnérable à l’usurpation d’identité… ou au harcèlement en ligne. A l’origine, les personnes les plus visées étaient les célébrités, les passionnés de jeux vidéo et les hackers.
Quatre chercheurs des universités de l’Illinois et de New York ont présenté début novembre une étude de ce phénomène dont les conséquences peuvent être désastreuses. Ils ont en particulier isolé les 4 principales motivations des doxers « activistes » :

  • La compétition – démontrer son savoir-faire technique
  • Le désir de revanche,
  • Le désir de justice – le doxer attaque parce qu’il estime que sa victime a causé du tort à des tiers,
  • L’idéologie.

Les premières traces du phénomène remontent aux années 1990. Mais si sa pratique « activiste » continue à exister, le doxing est maintenant devenu une arme redoutable aux mains des réseaux criminels, familiers de l’extorsion de fonds.

Chantage à la réputation

On connaissait le vol de données à but d’espionnage industriel : fichiers clients, fichiers fournisseurs, secrets de fabrication… la liste est longue. Les cybercriminels lui ont trouvé une nouvelle destination : celui du chantage aux données.

Après avoir dérobé des informations confidentielles, par exemple les salaires du personnel et des dirigeants, les fraudeurs menacent leur propriétaire de les publier sur le web, les rendant accessibles à tous – concurrents, salariés, administrations, etc. On a vu récemment des groupes de logistique, des réseaux sociaux, des e-commerçants, se faire dérober tout ou partie de leurs fichiers clients. Résultat : une fuite de données entraînant une perte de confiance qui peut aller très loin.

Payer la rançon ne signifie évidemment pas en avoir terminé avec la menace : les cybercriminels resteront en possession de ces données… et le risque sur la réputation restera élevé.

Ce chantage prend une dimension nouvelle depuis la mise en place du Règlement Général sur la Protection des Données – RGPD.

Et maintenant chantage à la conformité

En menaçant de rendre publiques les données personnelles des clients (dont par exemple leurs numéros de carte bancaire), les cybercriminels mettent en danger la réputation de l’entreprise, mais aussi sa conformité à la nouvelle réglementation européenne sur la protection des données personnelles (RGPD ou GDPR en anglais).

Depuis le 25 mai 2018, le RGPD met un chiffre derrière la menace : l’entreprise qui aurait mal protégé les données de ses clients, de ses salariés, ou qui aurait tardé à annoncer l’attaque dont elle a été victime, peut faire l’objet de lourdes amendes : jusqu’à 150.000€ au premier manquement, et ensuite jusqu’à 300.000€ ou 5 % du chiffre d’affaires hors taxes du dernier exercice clos. Des conséquences financières qui confèrent au risque une dimension bien concrète.

Protéger ses actifs immatériels

A l’heure où les données sont considérées comme l’or noir des entreprises, il est indispensable de protéger ses entrepôts et ses pipe-lines – leur hébergement et leur circulation. S’il n’y a pas de sécurité absolue, en matière de données comme ailleurs, il est aussi exact que les malfaiteurs s’attaquent en priorité aux proies les plus fragiles ; chaque entreprise doit donc s’armer pour ne pas être de celles-là.

Tout commence par l’éducation

de l’ensemble des collaborateurs de l’entreprise – tous, parce qu’il suffit d’un maillon faible pour contaminer la chaîne de données. La formation se doit en outre d’être régulièrement renouvelée, notamment auprès des nouveaux arrivants dans l’entreprise, et également pour mettre à jour les connaissances.

La protection des messageries

est absolument indispensable, comme le rappelle l’éditeur Kaspersky Lab dans son dernier rapport sur le SPAM et le phishing. « Les e-mails sont le premier vecteur de compromission des systèmes d’information », précise Tanguy de Coatpont, directeur général de ce spécialiste de la sécurité informatique, qui ajoute « en mai 2018, 51 % du trafic mondial d’internet était du SPAM. Des e-mails bien souvent porteurs de pièces jointes ou de liens malveillants. Beaucoup tombent encore dans le piège. »

L’externalisation des données via le cloud

permet de mutualiser les investissements nécessaires à un niveau de sécurité à la hauteur des risques, ainsi que sa maintenance. Mais même le meilleur opérateur de cloud ne peut pas, lui non-plus, garantir un risque zéro.

En associant le vol de données et la menace de les rendre publiques, les cybercriminels démontrent qu’ils savent parfaitement tirer parti des points de faiblesse des organisations, que ceux-ci soient d’ordre techniques (logiciel non mis à jour, messageries mal protégées…), organisationnelles, humaines… et désormais règlementaires. Ils accomplissent ainsi, en quelque sorte, la transformation numérique du métier de leurs aînés maître-chanteurs.