Extorsions de données massives cet été : « La rentrée va être un carnage »

Auchan, mais aussi Orange, Bouygues Telecom, Air France-KLM, Google, France Travail, le Muséum national d’histoire naturelle, Alltricks… La liste des entreprises et institutions victimes de fuites de données cet été ne cesse de s’allonger. En l’espace de quelques semaines, ce sont des dizaines de millions de données personnelles d’utilisateurs qui se sont retrouvées dans la nature, à la portée d’acteurs malveillants. Qui se cache derrière ces cyberattaques ? Pourquoi les entreprises restent-elles si attentistes face à une situation critique et qui ne fait qu’empirer ? Quelles solutions simples et efficaces devraient-elles mettre en place pour renforcer leur cybersécurité ?

Pour décrypter ces attaques de grande ampleur, nous avons interrogé Clément Domingo, connu sous le pseudonyme SaxX. Le fer de lance de ce « gentil hacker » et cyber évangéliste : l’éducation des entreprises et du grand public à l’importance de la protection des données. Son crédo : vulgariser des concepts qui peuvent paraître complexes, afin de faire comprendre à tous, professionnels inclus, à quel point ces sujets sont cruciaux.

Clément Domingo, alias SaxX, hacker éthique, expert en cybersécurité et cyber évangéliste

Clément Domingo, plus connu sous le pseudo SaxX, est un expert en cybersécurité. Il a co-fondé l’ONG Hackers Sans Frontières. Ce « gentil hacker », comme il se surnomme, est spécialiste des ransomwares et observateur du cyberespace africain. Hacker éthique reconnu au sein de l’écosystème, il accompagne de nombreuses sociétés en France, en Europe et en Afrique, pour améliorer leur niveau en cybersécurité.

De nombreuses grandes entreprises françaises ont été victimes de cyberattaques au cours des dernières semaines. Quelle est votre analyse de la situation ?

L’état de la situation en France est assez critique sur les fuites d’informations. Tout d’abord, il faut différencier une cyberattaque d’une fuite de données. Lorsqu’une entreprise est victime d’une cyberattaque, cela signifie que son système d’information est bloqué par un ransomware, et qu’une compensation financière va lui être demandée pour le débloquer. Ici, nous sommes plutôt dans un système d’extorsion de données.

Les attaquants rentrent dans votre système informatique, volent vos données, mais sans le bloquer.

Les données récupérées vont être revendues à des prix tout à fait accessibles, à partir de 300 ou 400 euros par exemple. Ce n’est pas cher, mais il faut bien prendre conscience que derrière, en vendant cette base de données, ce sont les informations de millions de personnes en France qui se retrouvent sur le marché. Cela représente de très importantes quantités de données personnelles.

Qui sont les cybercriminels derrière ces fuites de données ? Est-ce que leur profil a évolué ?

Déjà, je souhaite combattre l’idée reçue qui voudrait faire croire que toutes les cyberattaques viendraient de Russie ou de Chine : c’est complètement faux ! Depuis 24 mois, j’observe que de nombreuses grandes entreprises françaises se font attaquer par un groupe de jeunes, composé d’adolescents et de personnes plus âgées. De ce point de vue, oui, on peut effectivement dire que leur profil a beaucoup évolué.

Même s’ils sont bien organisés, je dirais que c’est « une organisation dans la désorganisation ». Je m’explique : ce sont des jeunes qui n’y connaissent rien à l’informatique, qui sont déscolarisés et généralement seuls. Ils vont commencer à chercher à se faire des amis sur Internet, vont découvrir des chaînes YouTube pour savoir comment hacker des jeux vidéo, juste parce que « c’est marrant ».

Puis, de fil en aiguille, ils vont tomber sur des canaux Discord et, très rapidement, sur des canaux Telegram, où ils vont se faire approcher par des grands du réseau, qui eux sont majeurs pour la plupart d’entre eux. J’ai appris que ces derniers ne vivaient pas forcément en France, mais aussi dans des pays francophones, comme le Maroc, et surtout dans le reste du monde.

Ces jeunes finissent par devenir les « petites mains » de la cybercriminalité.

Peu à peu, ils vont acquérir un certain savoir-faire dans ces extorsions de données, et ainsi montrer aux plus grands qu’ils sont eux aussi capables de faire des casses numériques. Sauf que, pour beaucoup d’entre eux, ils se font largement dépasser par la situation.

Nous sommes bel et bien dans cette situation où vous avez des entreprises françaises, qui pèsent des millions d’euros de chiffres d’affaires chaque mois, qui se font donc attaquer par une bande de petits jeunes depuis leur chambre à Paris ou en province. C’est une vraie dissonance qui m’interpelle.

Un autre paradigme dont la plupart des entreprises ne se rendent pas compte : ces jeunes hackers n’ont pas de « super pouvoir ». C’est une autre idée reçue trop répandue. Ils ne trouvent pas des vulnérabilités complexes dans les systèmes qu’ils attaquent. Non, c’est beaucoup plus simple que cela.

Pour quelles raisons s’en prennent-ils aux entreprises françaises d’après vous ? Et comment ?

Ces jeunes récupèrent votre nom d’utilisateur, votre mot de passe, et d’autres informations personnelles via des logiciels piégés, en se connectant à votre place avec vos identifiants. Nous sommes ici sur de l’ingénierie sociale très bien faite, je le reconnais. C’est un constat terrible parce que derrière, je le rappelle, il y a des utilisateurs, des employés, qui ne sont pas suffisamment sensibilisés sur ces risques et qui se font avoir sous la pression.

Les pirates les contactent en leur disant qu’ils sont parvenus à trouver des informations personnelles les concernant et expliquent ce qu’ils comptent en faire. Si l’utilisateur piraté ne leur donne pas accès à son compte professionnel, il va publier ces données. C’est comme cela que beaucoup de personnes se font berner.

L’autre principale motivation, c’est l’argent.

C’est ce qu’il s’est produit chez SFR et Free l’an dernier : un technicien, payé au SMIC, s’est fait approcher avec la possibilité de gagner 8 000 à 10 000 euros. Alors forcément, cela peut faire réfléchir quant à l’appât du gain dans ce genre de situation.

Voilà la triste mais aussi dure réalité de ce qu’il se passe actuellement en France.

Lorsqu’elles ont été attaquées, les entreprises communiquent auprès de leurs clients ou utilisateurs avec des formules telles que : « La sécurité de vos données est notre priorité ». Pourquoi cette affirmation ne vous semble-t-elle pas crédible ?

Je fais souvent ce « bingo » lorsque je prends connaissance de la communication de crise d’une entreprise touchée par une fuite de données :

1. « La sécurité de vos données est notre priorité. »
2. « Votre mot de passe et vos coordonnées bancaires ne sont pas concernés. »
3. « Nous avons notifié la CNIL. »

1. « La sécurité de vos données est notre priorité. »

Pour être honnête et diplomate, ce message est à la fois mensonger et uniquement fait pour la communication. Si la sécurité des données était réellement une priorité pour ces entreprises, je pense que le nécessaire aurait été fait depuis très longtemps.

Il faut rappeler qu’en termes d’investissement, la cybersécurité n’est plus aussi compliquée ni coûteuse qu’il y a dix ans. Et je pèse mes mots en disant cela.

2. « Votre mot de passe et vos coordonnées bancaires ne sont pas concernés. »

En filigrane, on a l’impression de lire : « Estimez-vous heureux que ni votre mot de passe ni vos coordonnées bancaires n’aient été piratés ». En réalité, cela signifie, pour un citoyen lambda, que son nom, son prénom, son numéro de téléphone, son adresse postale, etc., sont dans la nature.

Si on concrétise encore un peu plus ce propos, les entreprises qui communiquent en ces termes se moquent totalement des conséquences ! Peu importe pour elles de savoir qu’un utilisateur pourrait se faire cambrioler demain du fait que son adresse postale a pu être récupérée par un acteur malveillant.

3. « Nous avons notifié la CNIL. »

C’est typiquement le genre de phrase qui m’horripile le plus aujourd’hui. Cela sous-entend : « Regardez, nous avons fait ce qu’il fallait car nous avons notifié la CNIL ». Quand des personnes, qui n’y connaissent rien à la cybersécurité et qui sont apeurées, reçoivent ce genre de message, ce n’est pas possible ! Ces entreprises ne font absolument rien pour leurs utilisateurs. Ils sont totalement livrés à eux-mêmes.

L’état de nos entreprises en France est catastrophique, aussi bien en termes de communication de crise que sur l’accompagnement des victimes lors de ces fuites de données.

En quoi la CNIL est-elle fautive selon vous ?

Il faut vraiment que la CNIL réagisse ! Même si elle manque de bras, elle ne sert aujourd’hui qu’à compter encore et toujours les plaintes, ce qui est complètement inutile. Tant qu’il n’y aura pas de sanctions, de mesures contraignantes envers les entreprises qui ne mettent pas en place les dispositifs nécessaires de cybersécurité, à la rentrée et dans les prochains mois, on va assister à un véritable carnage avec des arnaques hyper ciblées. Surtout après l’été que l’on vient de passer !

Ma recommandation : il faudrait avoir un système de « class action » (ou recours collectif, ndlr) comme aux États-Unis. Sinon, nous aurons toujours ce même émoi numérique : nous nous offusquerons pendant une semaine voire dix jours, puis nous passerons à la prochaine cyberattaque, et ainsi de suite. Sauf qu’en attendant, vous avez la vie privée de millions de personnes dans la nature, ce qui représente quand même 9 Français sur 10, c’est énorme !

Les entreprises sont-elles dans le déni face à toutes ces fuites de données d’après vous ?

Non, ce n’est pas du déni, j’en suis convaincu. Je dirais que nous sommes plus sur une profonde méconnaissance de la manière dont fonctionne l’écosystème de la cybercriminalité et ses acteurs. À cela s’ajoute une totale absence de sensibilisation à destination des employés, non seulement pour leur apprendre comment protéger eux-mêmes leurs données personnelles, mais aussi (et surtout) les données de leur entreprise.

Elles ont tendance à penser que cela n’arrive qu’aux autres, qu’elles ne sont pas suffisamment intéressantes parce qu’elles n’évoluent pas dans l’IT… Mais les cyberattaques touchent toutes les structures, publiques comme privées, qu’importe la taille ou le secteur d’activité.

Quelles solutions concrètes les entreprises devraient-elles mettre en place pour mieux se protéger, et éviter ces fuites de données ?

Tout d’abord, il faudrait lancer une campagne de sensibilisation interne pour expliquer à tous les pans de l’entreprise comment fonctionnent ces milieux, avec des exemples concrets. La cybersécurité, mine de rien, c’est quelque chose qui reste encore très abstrait pour beaucoup de monde. Mais quand vous adaptez votre discours pour rendre les choses un peu plus réalistes, vous faites déjà un pas énorme.

Ensuite, il faut vraiment investir dans la cybersécurité. En 2025, ces grandes entreprises peuvent réaliser des analyses de risque. D’ailleurs, c’est une des choses que nous faisons le plus souvent en cybersécurité. Le but : venir cartographier les assets qu’une société détient pour identifier son patrimoine immatériel à protéger. En menant cet audit, vous saurez quel type de données sont les plus préjudiciables pour vous en cas d’attaque, et vous pourrez mettre le budget cyber correspondant pour y remédier.

Je pense qu’aujourd’hui, une entreprise peut investir de manière très adaptée pour protéger ses données personnelles.

Concernant la sphère publique, il faut communiquer et diffuser les bons « gestes » à avoir en matière de cybersécurité, pour qu’ils deviennent de véritables réflexes dans notre vie quotidienne, notamment lorsque nous utilisons des outils numériques au travail. Ce discours doit être accessible à tout le monde, sans être l’apanage des experts en cybersécurité. Malheureusement, je trouve que nous en sommes encore trop loin.

Mes autres conseils à destination des entreprises :

• Faire un état des lieux des identités car, à chaque fuite de données, c’est toujours l’humain qui en est à l’origine,
• Améliorer la détection des comportements suspects et des signaux faibles,
• Mettre en place la CTI, ou Cyber Threat Intelligence : cette activité consiste à étudier ce qu’il se passe au sein de l’écosystème pour mieux comprendre la situation et anticiper les cybermenaces.

Ce sont des conseils concrets, facilement applicables par n’importe quelle entreprise. Ils contribueraient à une meilleure protection de la vie numérique.

Quid de l’IA ? Est-elle une aide concrète pour les cyberattaquants ?

La manière dont les entreprises se faisaient attaquer il y a deux ou trois ans nécessitait davantage de préparation. Aujourd’hui, ce temps de travail a été divisé par 10 ou 20 grâce à (ou à cause de) l’intelligence artificielle.

Si les cybercriminels sont aujourd’hui tellement créatifs, proactifs et efficaces avec l’IA, cela n’augure rien de bon pour les mois à venir.

Votre mot de la fin ?

Actuellement, nous sommes vraiment dans une période assez critique. Vous allez vous retrouver dans les filets de cybercriminels, alors que nous n’avez rien demandé, juste parce que vous êtes une entreprise française. Mais il y a encore la possibilité de reprendre la main. Encore faut-il être au courant de cette actualité !

Il n’y a pas de recette magique : préparez-vous, anticipez et identifiez vos signaux faibles !

Il est temps de prendre réellement le contrôle de votre cybersécurité, et montrer à vos utilisateurs, à vos collaborateurs et vos partenaires, qu’ils peuvent avoir confiance en vous dans la gestion de leurs données personnelles. Pour cela, faites-vous accompagner des bonnes personnes, informez-vous, et soyez actifs sur ce sujet ! N’attendez pas de vous faire attaquer pour réagir.