Imaginez que vous vous baladez et qu’un inconnu vous tende un morceau de papier. Ce papier contient une liste d’informations le concernant : son nom, son prénom, son lieu de travail et les études qu’il a faites.
Et ce n’est pas tout. Il contient aussi la liste des membres de sa famille, de ses collègues et de ses magasins préférés. Son adresse mail et son numéro de téléphone. Ses allergies alimentaires. Sa date de naissance.
Vous trouveriez ça bizarre ? C’est normal. Le problème, c’est qu’avec nos empreintes numériques, on agit exactement comme cet inconnu, en divulguant nos informations personnelles à quiconque veut bien les voir. Alors, à moins qu’elles soient maîtrisées, ces données nous exposent à de sérieux problèmes.
Dans cet article, nous allons voir ce qu’est l’empreinte numérique et en quoi les hackers s’en servent pour nous attaquer, nous ou notre entreprise. Puis nous verrons comment contrôler nos informations, minimiser notre empreinte numérique et se protéger en cas de tentative de fraude.
Qu’est-ce que l’empreinte numérique et en quoi est-elle importante ?
L’empreinte numérique représente l’ensemble des données que vous laissez derrière vous à chaque fois que vous êtes sur Internet. Imaginez un fil d’Ariane vous suivant et retraçant chaque site internet que vous avez visité et toutes les interactions que vous avez eues sur chaque.
Cette trace comprend :
- Votre empreinte numérique active : les données que vous partagez intentionnellement avec les autres, comme votre profil LinkedIn ou Facebook, vos avis Google ou autres informations publiques.
- Votre empreinte numérique passive : les données que les autres collectent sur vous, souvent sans que vous n’en ayez connaissance ou même donné votre accord, comme certains sites qui pistent votre adresse IP.
Votre empreinte numérique offre une image détaillée de vous et de vos centres d’intérêt. Naturellement, c'est une mine d’or pour les hackers friands de vol, de Spear phishing ou de tout autre type d’attaque.
Voici un cas concret d’exploitation de votre empreinte numérique par un hacker.
Fraude numérique : se faire passer pour un membre du service client
Supposons qu’un pirate ait recours à la bonne vieille technique de l’arnaque téléphonique. Pour commencer, il a besoin de récolter des informations sur vous. Autrefois, il aurait pu fouiller dans votre poubelle pour trouver une facture. Maintenant, il a juste à vous trouver sur les réseaux sociaux.
Et bingo, il a découvert un post contre votre fournisseur internet SpeedyWebz, dans lequel vous vous dénonciez des pénalités de retard de paiement sur votre dernière facture. Il a ensuite trouvé votre numéro de téléphone sur la page du personnel de votre entreprise et a utilisé une carte SIM factice pour usurper le numéro de téléphone du service d'assistance de SpeedyWebz. Peu après, vous recevez un appel :
“Bonjour, c'est Céline de SpeedyWebz. Nous pouvons vous proposer de réduire vos pénalités de retard de 95 % si vous réglez maintenant par téléphone. Pour commencer, je vais avoir besoin de vos informations de carte bancaire.“
Ça fait froid dans le dos, n'est-ce pas ? Qui refuserait de sauter sur une occasion pareille !
Cet exemple nous montre à quel point il est facile pour un inconnu de se servir de notre empreinte numérique contre nous, et notamment via l’une des méthodes d’arnaque les plus redoutables qui soit : le Spear phishing.
En savoir plus : Tout ce que vous devez savoir sur NIS2 – et notre checklist pour être en conformité
Nos empreintes numériques sont en train de créer l’âge d’or du Spear phishing
Le Spear phishing est un type d’arnaque très sophistiquée où les victimes transfèrent de l’argent, installent un malware ou divulguent des informations sensibles. On estime que 50% des entreprises ont été ciblées par du spear phishing en 2023. Cela coûte aux entreprises des millions en dégâts, atteinte à l’image de marque et en fonds volés. Dans certains cas, ces attaques peuvent même coûter le poste de leurs dirigeants.
Contrairement aux attaques de phishing classiques ciblant une audience large dans l’espoir que quelques individus se laissent piéger, les attaques de spear phishing sont précises et personnalisées pour cibler une personne en particulier. Cela les rend bien plus dures à détecter et la plupart des gens se font avoir.
Hélas, nos empreintes numériques sont en train de créer un âge d'or du spear phishing. Nous tendons le bâton pour nous faire battre en donnant tout le nécessaire pour nous arnaquer, et tout ça, gratuitement.
Voici un exemple de spear phishing.
Mattel a failli perdre 3 millions de dollars à cause d'une campagne de spear phishing très ciblée
En 2015, des escrocs ont ciblé Mattel avec une campagne de spear phishing usurpant l'identité de leur nouveau PDG, Christopher Sinclair, et demandant au service financier de l'entreprise de transférer 3 millions de dollars à un faux fournisseur basé en Chine. Les escrocs savaient parfaitement ce qu'ils faisaient.
Ils savaient, d'après les déclarations publiques de M. Sinclair, qu'il se concentrait sur l'expansion du marché chinois. Ils ont également étudié les profils LinkedIn des salariés pour trouver le nom des personnes à mentionner dans l'e-mail et en renforcer la légitimité. Enfin, ils ont trouvé des exemples du format habituel des e-mails de Mattel, créant ainsi un faux message qui ressemblait à s'y méprendre à un vrai.
Résultat ? Le service financier a transféré les 3 millions de dollars, en répondant au faux Christopher Sinclair pour confirmer le paiement. Un peu plus tard, un des cadres a mentionné cette affaire au vrai Christopher Sinclair qui a aussitôt donné l’alerte. Heureusement, l'attaque a coïncidé avec un jour férié en Chine, les autorités ont pu geler le compte destinataire et récupérer les fonds.
Cet exemple montre bien que les organisations s’exposent à des risques graves quand leurs salariés partagent des informations personnelles et professionnelles sur Internet. Et avec l'essor de la technologie deepfake, les attaques de spear phishing deviennent encore plus difficiles à détecter. C'est pourquoi il est plus important que jamais de reprendre le contrôle.
En parlant de prise en main, consultez notre checklist gratuite sur 12 indicateurs clés en cybersécurité – et comment les utiliser pour améliorer la protection de votre entreprise.
Contrôler son empreinte numérique en 3 étapes
Alors, comment réduire son empreinte numérique avant que de telles fraudes ne se produisent ? Vous pouvez déjà suivre ces 3 étapes :
Étape 1 : Auditez-vous
Commencez par taper votre nom dans Google et voyez ce qui ressort. Vous verrez ainsi les informations que vous partagez actuellement, celles que vous pouvez retirer, supprimer ou limiter.
Soyez particulièrement vigilants avec les réseaux sociaux et vérifiez si votre profil est public. Vous pourriez avoir des surprises en tombant sur des informations inattendues, comme la liste des salariés de vos précédentes entreprises. Mettez-vous dans la peau d'un escroc : comment pourriez-vous exploiter ces informations ?
Vérifiez également si l'un de vos noms d'utilisateur et mots de passe a déjà fait l'objet d'une violation de données. Le site Have I Been Pwned, par exemple, permet de le vérifier.
Étape 2 : Limitez vos informations
Réduisez ensuite votre empreinte numérique en supprimant le plus grand nombre de résultats possible parmi ceux obtenus à l’étape 1. Alors, si l’idée de partager vos données avec un inconnu dans la rue vous dérange, supprimez les informations en question.
Supprimez vos anciens comptes sur les réseaux sociaux et paramétrez des règles de confidentialité strictes pour limiter la visibilité de vos profils essentiels (sur invitation uniquement, ou en cachant votre nom complet et votre photo). Activez l'authentification multifacteur pour réduire le risque d'usurpation d'identité en cas de vol d’identifiants. Enfin, passez en revue vos contacts et supprimez toutes les personnes que vous ne connaissez pas dans la vie réelle.
Ensuite, vous pouvez examiner un par un les éléments restants de votre empreinte numérique, les supprimer vous-même ou demander aux sites hôtes de le faire. Ces plateformes et services ont le devoir de préserver la confidentialité de vos données, alors foncez.
Étape 3 : Contrôlez régulièrement
Chaque fois que vous partagez quelque chose en ligne, vous ajoutez à votre empreinte numérique. C'est pourquoi la prise en charge de votre empreinte numérique n'est pas un exercice à faire ponctuellement, mais un travail continu.
Fixez-vous un rendez-vous récurrent (tous les quelques mois) pour consulter votre profil sur Google et voir si de nouveaux éléments apparaissent qui requièrent votre attention. Vous pouvez également créer une alerte Google avec votre nom.
Soyez prudent lorsque vous recevez de nouvelles demandes d'accès à vos réseaux sociaux, en particulier de personnes que vous ne connaissez pas. En cas de doute, refusez la demande, il vaut mieux risquer de passer pour quelqu'un d'impoli que de mettre vos informations personnelles entre les mains de personnes mal intentionnées.
En ce qui concerne votre empreinte numérique passive, vous pouvez utiliser un VPN pour masquer votre adresse IP et empêcher les sites de suivre votre activité. Enfin, un outil de gestion de l'empreinte numérique tel que Mine, Incogni ou DeleteMe peut vous aider à rester en sécurité en vous alertant sur les risques liés à vos données.
Que faire si vous pensez être victime d'une arnaque en ce moment même
Avec les trois étapes précédentes, vous allez déjà reprendre le contrôle de votre empreinte numérique. Mais les hackers ne s'arrêtent jamais, et ils finiront peut-être par trouver un moyen de vous cibler, vous ou votre équipe.
Voici donc quelques conseils sur ce qu'il faut faire si vous pensez être victime d'une arnaque :
- Réfléchir avant d’agir. La plupart des tentatives de fraude jouent sur le sentiment d’urgence, comme une fausse facture en attente de paiement ou une fausse carte bancaire compromise. Chaque fois que vous êtes confronté à une situation urgente ou stressante, prenez le temps et demandez-vous s'il ne s'agit pas d'une escroquerie.
- Examiner les détails. Les tentatives de fraude telles que le spear phishing comportent souvent des petits détails incorrects, comme une adresse e-mail pas tout à fait correcte ou un portail de paiement avec une URL étrange. Regardez attentivement chaque détail pour vous assurer que tout est légitime.
- Utiliser un canal alternatif. Si une situation vous semble suspecte, contactez l'autre partie pour confirmer qu'il s'agit bien d'elle. Si votre PDG ou votre directeur demande un paiement urgent, contactez-le via un autre canal de communication. Il en va de même pour votre banque : en cas de doute, raccrochez et appelez directement le service client.
- Alerter l’équipe sécurité. Les arnaques ne sont pas uniquement votre affaire, elles constituent une menace majeure pour l'ensemble de votre organisation. Si vous pensez courir un risque, signalez-le à l’équipe sécurité immédiatement et assurez-vous qu'elle assure le suivi de toute menace potentielle.
- Appeler les autorités. Prévenez toujours la police si vous pensez être victime d'une escroquerie. Elle dispose des ressources nécessaires pour vous aider.
Restez en sécurité en maîtrisant votre empreinte numérique
Depuis les années 1990, nous avons progressivement transféré une grande partie de notre vie sur Internet. Même s'il est plus pratique de faire des achats, de sociabiliser et de créer ses réseaux professionnels en ligne, toutes ces activités s'ajoutent à notre empreinte numérique et donnent aux escrocs une longueur d'avance.
Nous devons réfléchir de manière critique aux informations que nous partageons et à la manière dont elles pourraient se retourner contre nous. Prendre conscience des risques à partager des informations sur Internet, limiter notre empreinte numérique, et savoir quoi faire en cas d’arnaque.
L’une des meilleures façons de se préparer ? Investir dans une formation de sensibilisation à la cybersécurité pour toute votre équipe. Pour découvrir la formation ludique et interactive d’Albert sur l’empreinte numérique, le spear phishing et aller plus loin, contactez l'un de nos experts.
Questions fréquentes :
- Qu'est-ce qu'une empreinte numérique ? Votre empreinte numérique est l’ensemble des données que vous laissez derrière vous chaque fois que vous faites quoi que ce soit en ligne. Il y a votre empreinte numérique active : les données que vous partagez délibérément (comme vos profils de réseaux sociaux) et votre empreinte numérique passive : les données que d'autres collectent sur vous (comme les sites internet qui tracent votre adresse IP).
- Pourquoi mon empreinte numérique est-elle si importante? Votre empreinte numérique offre des détails sur votre vie personnelle et professionnelle (comme vos différentes relations), vos habitudes (où vous faites vos achats) et même votre localisation. Les escrocs peuvent utiliser ces informations contre vous.
- Comment les hackers peuvent-ils utiliser mon empreinte numérique ? Votre empreinte numérique aide les hackers à personnaliser leurs tentatives de fraude. Par exemple, si votre activité sur les réseaux sociaux montre que vous étiez en vacances aux Bahamas, un hacker pourrait se faire passer pour vous dans un e-mail adressé à vos collègues et leur demander de payer une fausse facture que vous auriez oublié de payer.
- Que puis-je faire pour mieux gérer mon empreinte numérique ? Commencez par vous rechercher sur Google, puis minimiser votre empreinte en supprimant les informations inutiles et en modifiant vos profils de réseaux sociaux pour qu'ils soient uniquement accessibles sur invitation. Ne vous connectez pas avec des personnes que vous ne connaissez pas dans la vie réelle. Un VPN ou un outil de gestion de l'empreinte numérique peuvent aider à préserver la confidentialité de vos données.
- Qu'en est-il de mon entreprise ? Les entreprises ont leur propre empreinte numérique, avec leur emplacement et leurs coordonnées (adresse du siège social et numéro du service client), les avis clients et les différents classements (par exemple, les évaluations Yelp ou Trustpilot). Il est important de contrôler ces empreintes numériques.