La Douille #10 - Je vous ai piraté votre compte
La Douille, la newsletter qui raconte au monde le droit des affaires. Un dimanche sur deux.
Bienvenue dans le dixième épisode de La Douille, la newsletter qui raconte au monde le droit des affaires.
Toute ressemblance avec des faits et des personnages existants ou ayant existé serait purement fortuite et ne pourrait être que le fruit d'une pure coïncidence.
Pour nous soutenir :
Cliquez sur le cœur sous le titre
Partagez votre expérience
Mercredi :
Maud Alavès, une créatrice de contenus sur Linkedin raconte qu’elle s’est fait pirater son compte Linkedin.
Jeudi :
Un client nous contacte car son salarié vient de l’alerter : la page Facebook de l’entreprise est inondée de fausses pubs pour des ray-ban avec tous ses contacts tagués dessus. Le mot de passe de son compte a été changé il n'arrive plus à accéder à la page.
La pub en question :
Au début de la semaine, les journaux spécialistes cyber ont dévoilé qu'une MOAB pour « Mother of all breaches » était survenue. Comprendre : il est arrivé la plus grosse divulgation
Début de la semaine :
Les journaux spécialistes cyber ont dévoilé qu’une MOAB pour « Mother of all breaches » était survenue.
Comprendre : il est arrivé la plus grosse divulgation de données de tous les temps (oups).
Les pirates se sont amusés à compiler des milliards et des milliards de dossiers provenant de fuites antérieures pour les publier sur le Dark web (façon annuaire des pages jaunes).
Ces données proviennent de fuites sur des sites comme Deezer (258 millions de données impactées), Dropbox (69 millions de données impactées), Telegram (41 millions de données impactées), X (281 millions de données), LinkedIn (251 millions de données), etc. au total 26 milliards de données ont été compilées.
Ça fait un peu beaucoup pour une coïncidence.
Avez-vous déjà créé un compte sur ces sites ? 26 milliards de données, 8 milliards d’êtres humains sur terre. On te laisse faire les stats.
Comment savoir si vous es concerné ?
Un des moyens simples est d'aller faire un tour sur le site Have I Been Pwned et de renseigner tes différentes adresses email.
Après avoir cliqué sur le bouton de validation vous saurez si votre adresse email s'est retrouvée sur le Dark web ces dernières années – avec le nom du prestataire à qui dire merci.
Si l'écran devient rouge, mauvaise nouvelle. S'il reste vert tout va bien.
Et après, on fait quoi ?
Si une de tes adresses email est concernée, surtout si c'est une adresse pro, sois vif, change de mot de passe.
Change aussi le mot de passe de tous les autres comptes que vous utilisez avec la même combinaison d'emails et de mot de passe.
Et oui, les pirates sont des petits malins, ils savent très bien que vous utilisez la même combinaison de mot de passe et adresse email sur tous les sites (Valérie, on te voit !). C'est courant qu'ils testent les sites les plus connus une fois qu'ils ont une combinaison.
Et si ça t’arrive de te faire pirater ?
S'il t’arrive la même chose qu'à Maud ou à notre client et que tes comptes de réseaux sociaux sont piratés, il y a au moins deux scénarios possibles :
1/ Soit vous avez de la « chance » et le pirate se contente publier des fausses pubs en ton nom en taguant des personnes.
2/ Soit vous tombez sur des pros et dans ce cas il est probable qu'ils t’envoient un mail avec une demande de paiement en bitcoin en échange de récupérer tes accès. A 99%, les menaces sont mises à exécution parce que ces pirates sont de vrais pros et ils ne veulent pas perdre leur crédibilité (certains ont même un service client très quali #truestory).
Dans tous les cas, l’enjeu sera de récupérer l’accès à ton compte en utilisant les fonctionnalités offertes par la plateforme concernée. Il faudra vérifier que les numéros de téléphone et l’adresse email de récupération n’ont pas été changés.
Mais pour une entreprise, ça se complique un peu
On ne va pas vous mentir (les autres oui mais pas nous), même si on peut tenter des actions judiciaires, à ce jour, c'est très difficile d’identifier qui était derrière le piratage. Sans parler d'aller faire exécuter des décisions auprès des fournisseurs de réseaux sociaux qui sont tous situés à l’étranger.
Donc globalement, il faut tout de suite oublier l'idée que d’obtenir un jour des dommages et intérêts.
Par contre, si le compte piraté contient par exemple des informations personnelles relatives à tes clients, tes obligations ne s'arrêtent pas là.
Dans ce cas, il faudra au moins passer par ces 2 étapes (on sera là pour vous aider) :
1/ Il faudra notifier la faille de sécurité à la CNIL. Parfois, si c’est plus grave, il faudra informer les personnes dont les données sont concernées.
2/ c’est aussi recommandé de porter plainte auprès des autorités judiciaires. Avec un peu de chance, vous avez une assurance qui couvre le risque cyber (et dans ce cas, c’est obligatoire de porter plainte pour pouvoir être indemnisé).
On souhaite que tout ça ne vous arrive jamais. Mais nous, on sait à quel point ça arrive.
Comme dirait mamie, « mieux vaut prévenir que guérir » !
PS 1 : D’ailleurs, demander un audit de sécurité à un prestataire informatique, c’est toujours une bonne idée.
PS 2 : un outil de gestion des mots de passe pour commencer, c’est aussi le feu.
PS 3 : si vous avez envie de lire l’article sur le « Mother of all breaches », c’est par là.
Des News de Blast Avocat·es (et sa team) :
L’année dernière, on a accompagné 5 clients pour obtenir des financements pour déposer une marque française ou européenne. Ça permet de financier jusqu’à 75% des frais d’enregistrement.
On vient d’apprendre que le programme de subvention est renouvelé pour 2024, sur une base de premier arrivé, premier servi.
D’ailleurs, si vous avez des enjeux tech / propriété intellectuelle, on sait aussi vous aider à vous faire financier une partie de vos actes juridiques.
Comme l’année dernière, nous proposons un stage découverte d’une durée de quelques semaines dès juillet 2024 : apprenti(e) juriste (à partir de la L3) n’hésitez pas à postuler avec votre CV et quelques lignes pertinentes dans un email. (Les non-parisiens n’hésitez pas car full remote envisageable).
Commentez ce post ou écrivez-nous.
Stay tuned, ce n’est que le début de La Douille.