Les fuites de données sont la principale raison pour laquelle votre adresse e-mail peut être divulguée sur internet. Votre adresse peut alors apparaître sur des forums en ligne, sur le dark web et sur d’autres espaces publics. Le rapport 2023 d’IBM Security(nouvelle fenêtre) constate que les entreprises ont mis en moyenne 204 jours pour identifier une violation de données. Autrement dit, il peut s’écouler en moyenne 7 mois avant qu’une entreprise ne se rende compte que des hackers ont mis la main sur vos données personnelles. Cette situation représente une sérieuse menace pour votre vie privée et votre sécurité en ligne.
La seule façon de limiter les conséquences d’une fuite d’adresses e-mail est de vérifier régulièrement si vos données personnelles ont été compromises. Dans cet article, on vous montre comment vérifier si votre adresse électronique a fait l’objet d’une fuite de données et ce que vous pouvez faire pour y remédier.
- Que se passe-t-il en cas de fuite de votre adresse e-mail ?
- Comment vérifier s’il y a eu une fuite d’adresses e-mail ?
- Comment se protéger contre les fuites d’adresses e-mail ?
- Choisir une boite mail sécurisée
Que se passe-t-il en cas de fuite de votre adresse e-mail ?
Des données personnelles divulguées lors de fuites de données apparaissent en permanence sur le dark web, entraînant une multitude de problèmes pour les victimes. Voici ce qui pourrait se produire si des hackers s’emparaient de votre adresse électronique et de votre mot de passe.
Augmentation du nombre de messages indésirables et de tentatives d’hameçonnage
L’un des signes les plus évidents d’une fuite de votre adresse e-mail est l’arrivée massive de messages indésirables (ou spam) et de tentatives d’hameçonnage (ou phishing) dans votre boite de réception. Si la plupart des messages indésirables sont simplement pénibles, les tentatives d’hameçonnage sont dangereuses. Les escrocs qui pratiquent le phishing se font passer pour un expéditeur légitime, comme votre banque ou votre assureur, pour vous inciter à leur communiquer des informations personnelles.
Une autre ruse courante consiste à se faire passer pour le service dont les informations ont été piratées. Par exemple, les données de plus de 200 millions d’utilisateurs de Twitter ont été divulguées(nouvelle fenêtre) fin 2022 et il est très facile pour des malfaiteurs d’inclure toutes les informations nécessaires dans un message afin de se faire passer pour Twitter. Voici un exemple d’hameçonnage ciblé (spear phishing) qui vise les utilisateurs de Twitter ayant un compte vérifié.
Heureusement, votre bon sens vous permettra généralement de vous protéger des tentatives de phishing. Méfiez-vous des expressions inhabituelles, vérifiez bien l’adresse e-mail de la personne qui vous a envoyé le message et contactez-la en utilisant un autre canal pour confirmer que le message est bien authentique.
Si vous avez un doute sur le fait qu’un message puisse être une tentative de phishing, ne cliquez sur aucun lien, n’ouvrez aucune pièce jointe et signalez immédiatement le message à votre fournisseur de messagerie électronique.
Piratage de compte
Si le mot de passe de votre boite mail a lui aussi été révélé lors d’une fuite de données, un hacker pourrait prendre le contrôle de votre compte de messagerie. Souvent, ils utilisent les informations qui sont dans votre messagerie pour accéder à d’autres comptes plus sensibles, comme vos comptes bancaires en ligne ou vos réseaux sociaux. Ils peuvent même vous faire du chantage en utilisant vos messages ou vous obliger à payer une rançon pour récupérer l’accès à vos comptes.
Usurpation d’identité
L’usurpation d’identité est une autre conséquence possible d’une fuite d’adresses e-mail. On parle d’usurpation d’identité quand un hacker exploite vos données personnelles pour se faire passer pour vous auprès d’autres personnes ou organisations. Voici quelques exemples de ce que peut faire un malfaiteur :
- Souscrire de nouveaux abonnements et contrats à votre nom.
- Demander de nouvelles cartes bancaires, de nouveaux prêts et comptes bancaires avec vos coordonnées.
- Faire des achats frauduleux.
- Se faire passer pour vous et demander de l’argent à vos amis et à votre famille.
- Commettre des délits en utilisant vos données.
L’usurpation d’identité a des conséquences graves, elle peut nuire sérieusement à votre carrière et à votre réputation, parfois même vous laisser un casier judiciaire.
Comment vérifier s’il y a eu une fuite d’adresses e-mail ?
Les fuites de données étant fréquentes, il est important de surveiller régulièrement les signes révélateurs d’une fuite de votre adresse e-mail. Vous pouvez rechercher votre adresse e-mail dans la base de données Have I Been Pwned (HIBP)(nouvelle fenêtre), un site internet développé par Troy Hunt, consultant en sécurité web, dans le but d’aider les gens à vérifier si leurs informations personnelles ont été compromises. Ce site internet vous permet de rechercher votre adresse e-mail, votre numéro de téléphone et votre mot de passe.
Pour faire une recherche sur votre adresse e-mail ou votre numéro de téléphone :
- Rendez-vous sur le site internet Have I Been Pwned(nouvelle fenêtre).
- Saisissez votre adresse e-mail ou votre numéro de téléphone dans la barre de recherche et cliquez sur pwned ?.
Pour faire une recherche sur votre mot de passe :
- Rendez-vous sur le site internet Have I Been Pwned(nouvelle fenêtre).
- Cliquez sur Passwords (mots de passe) dans le menu de navigation en haut de la page.
- Saisissez votre mot de passe dans la barre de recherche et cliquez sur pwned ?.
Voici comment se présente le résultat
Si votre adresse e-mail ou votre numéro de téléphone n’a pas été victime d’une fuite de données, vous verrez ce message :
Dans le cas contraire, vous verrez ce message :
Si vous découvrez que votre adresse e-mail a fait l’objet d’une fuite de données, prenez les mesures ci-dessous pour vous protéger immédiatement.
Comment se protéger contre les fuites d’adresses e-mail ?
Changez vos mots de passe
La première chose à faire après avoir découvert que votre adresse e-mail a fait l’objet d’une fuite de données est de changer les mots de passe des comptes qui sont concernés. Vous devez utiliser un mot de passe fort et unique pour chacun de vos comptes. Si vous avez utilisé le même mot de passe pour plusieurs comptes et que l’un d’eux a été victime d’une fuite de données ou a été compromis, vous devez alors changer ce mot de passe partout où vous l’avez utilisé. C’est aussi pour cette raison qu’il faut éviter d’utiliser le même mot de passe sur plusieurs comptes : cela vous complique la tâche suite à une fuite de données.
Nous vous conseillons d’utiliser un gestionnaire de mots de passe open source pour vous aider à gérer plusieurs mots de passe forts et uniques.
Les gestionnaires de mots de passe génèrent et enregistrent automatiquement des mots de passe complexes pour chacun de vos comptes en ligne, ce qui les rend difficiles à pirater. Vous n’avez qu’à mémoriser un seul mot de passe principal, celui pour vous connecter à votre gestionnaire de mots de passe.
Activez l’authentification à deux facteurs
En même temps que vous modifiez une adresse e-mail et un mot de passe, pour un ou plusieurs comptes, nous vous conseillons d’activer l’authentification à deux facteurs (A2F), partout où vous le pouvez. En utilisant l’A2F, vous protégez votre compte contre les accès non autorisés en imposant une vérification supplémentaire, en plus de votre mot de passe, quand vous vous connectez. Cette vérification supplémentaire se fait généralement avec un appareil qui vous appartient, comme une clé de sécurité ou un smartphone, ou avec une authentification biométrique, en utilisant la reconnaissance faciale (votre visage) ou votre empreinte digitale par exemple.
Les clés de sécurité, aussi appelées clés A2F ou clés de sécurité matérielles (comme YubiKeys(nouvelle fenêtre) par exemple), sont l’une des méthodes les plus sécurisées pour l’authentification à deux facteurs. Contrairement aux codes à usage unique qui sont générés par une application d’authentification installée sur votre appareil mobile, les clés de sécurité ne peuvent pas être usurpées, elles ne sont pas limitées dans le temps et elles ne nécessitent pas d’accès à un appareil mobile. Puisqu’il s’agit de clés USB, vous pouvez facilement les ajouter à votre porte-clés et les emporter partout avec vous. Malheureusement, certains services ne permettent pas d’utiliser des clés de sécurité.
Informez vos contacts
Prévenez vos contacts qu’ils pourraient recevoir des messages inhabituels qui semblent venir de vous. Cela leur évitera d’être victimes de tentatives de phishing qui utilisent (ou semblent utiliser) votre adresse e-mail.
Si vous avez activé l’A2F dans votre compte de messagerie électronique avant la fuite de données et que vous avez la certitude que le hacker n’a pas eu accès à votre application d’authentification ou à votre clé de sécurité, vous pouvez vous passer de cette étape.
Examinez attentivement vos relevés de compte bancaire et de carte de crédit
Vous devez aussi vérifier vos relevés bancaires et vos relevés de cartes de crédit pour repérer toute activité inhabituelle, comme des frais que vous ne reconnaissez pas, des achats importants ou même des changements d’adresse de facturation. Les malfaiteurs font parfois de petits paiements en guise de test (1 ou 2 euros), avant d’essayer des transactions plus importantes.
Si vous découvrez une activité suspecte, signalez-la immédiatement à votre banque ou à la société qui vous fournit votre carte de crédit. Vous obtiendrez normalement de leur part toutes les informations dont vous avez besoin sur les démarches qu’ils entreprennent et sur la marche à suivre.
Utilisez des alias d’adresse e-mail
Utiliser des alias d’adresse e-mail est un bon moyen de protéger votre vie privée en ligne, en particulier après une fuite d’adresse e-mail. En utilisant un alias, vous protégez votre véritable adresse e-mail et vous limitez les informations personnelles que vous communiquez en ligne. Vous pouvez créer des alias d’adresse e-mail de deux manières :
- En ajoutant le signe plus (+) : vous ajoutez « +exemple » à votre nom d’utilisateur. Par exemple, si votre adresse e-mail est [email protected], votre alias d’adresse e-mail pourrait être [email protected]. Cette façon de faire s’appelle le sous-adressage.
- En créant un alias avec un autre nom d’utilisateur : vous créez un alias complètement nouveau pour un compte en ligne.
Notez que certaines boites mail ne permettent pas ces fonctionnalités. C’est possible avec Proton Mail et nous proposons gratuitement l’option des alias avec le signe plus (+).
Même si cette technique est pratique, un hacker peut facilement identifier votre véritable adresse e-mail à partir de votre sous-adresse et l’utiliser pour des messages indésirables/spam. Si vous devez utiliser une sous-adresse, assurez-vous qu’elle ne contient pas votre vrai nom.
Générez automatiquement des alias d’adresse e-mail uniques
La meilleure façon de créer de nouveaux alias est de les configurer de façon individuelle. Cependant, étant donné le nombre de comptes en ligne que nous utilisons chaque jour, il est impossible de créer manuellement de nouveaux alias pour chacun d’entre eux. L’organisation et la gestion d’un si grand nombre de boites de réception serait par ailleurs un vrai casse-tête.
Nous vous recommandons donc d’utiliser un service d’alias d’adresse e-mail open source, comme SimpleLogin par Proton(nouvelle fenêtre), pour générer ces adresses. SimpleLogin est une extension de navigateur, une application web et une application mobile qui vous fournit une adresse e-mail anonyme chaque fois que vous créez un compte en ligne. Les messages électroniques envoyés à vos alias sont instantanément transférés dans votre boite de réception.
Avec SimpleLogin, vous pouvez créer votre alias ou laisser le logiciel en générer un au hasard. Si vous décidez de ne plus utiliser un alias, il vous suffit de le supprimer.
N’ouvrez pas les liens et les pièces jointes qui vous semblent suspects
Les attaquants utilisent souvent des messages de phishing (ou hameçonnage) pour vous inciter à révéler vos données personnelles sur des sites internet frauduleux ou à installer des logiciels malveillants(nouvelle fenêtre) sur votre ordinateur. Pour garantir votre sécurité, il vaut mieux ouvrir uniquement les messages électroniques et les pièces jointes envoyés par des expéditeurs de confiance. Méfiez-vous aussi des messages qui vous demandent d’agir de toute urgence (vous demandant par exemple d’envoyer de l’argent immédiatement).
En cas de doute, contactez l’expéditeur en utilisant une autre méthode, en appelant par exemple le service client officiel, pour demander s’ils vous ont bien envoyé un e-mail. Si vous avez la certitude d’avoir affaire à un phishing, signalez-le immédiatement à votre fournisseur de messagerie électronique.
Surveillez régulièrement vos adresses e-mail pour détecter les fuites de données
En surveillant de près la possibilité d’une fuite de données, vous protégerez efficacement vos informations personnelles et votre identité en ligne. Une surveillance régulière vous permet de détecter rapidement une activité anormale ou un incident de sécurité et d’y réagir.
Vous pouvez aussi utiliser la fonctionnalité « Notify me » (m’avertir) du site internet « Have I Been Pwned » pour recevoir une notification si vos données personnelles sont compromises lors d’une fuite de données :
- Rendez-vous sur le site internet Have I Been Pwned(nouvelle fenêtre)
- Cliquez sur Notify me dans le menu en haut de la page.
- Saisissez votre adresse e-mail et cliquez sur notify me of pwnage.
Sinon, vous pouvez suivre le compte Twitter de HIBP(nouvelle fenêtre) pour vous tenir au courant des dernières fuites de données.
Choisir une boite mail sécurisée
Votre fournisseur de messagerie électronique joue lui aussi un rôle déterminant pour empêcher un accès non autorisé à votre boite de réception. Il doit appliquer de solides mesures de sécurité pour protéger votre boite mail contre les cybermenaces, comme le piratage, le phishing et les logiciels malveillants.
Proton est le plus grand fournisseur de messagerie électronique chiffrée au monde. Notre priorité absolue est de protéger votre vie privée en ligne et de vous permettre de garder le contrôle de vos données. Quand vous utilisez Proton Mail, vous bénéficiez de ces fonctionnalités de sécurité :
- Chiffrement de bout en bout : personne d’autre que vous et vos destinataires ne peut lire vos messages.
- Chiffrement zéro accès : toutes les données conservées sur nos serveurs sont entièrement chiffrées. Même si un hacker parvenait à accéder à nos serveurs, il ne pourrait pas lire vos messages.
- Alias d’adresses e-mail supplémentaires : tous les abonnements Proton Mail offrent la possibilité de créer des alias, vous pouvez en créer jusqu’à 10 avec l’abonnement gratuit. Tous les messages envoyés à vos alias arrivent dans votre boite de réception, vous ne changez rien à vos habitudes.
- Blocage des activités suspectes : les systèmes de sécurité de Proton Mail bloqueront temporairement votre compte s’ils détectent un comportement suspect, comme une tentative de piratage de votre boite de réception. Votre compte est débloqué dès que vous prouvez votre identité à l’aide d’un code de vérification qui est envoyé à votre adresse e-mail ou numéro de téléphone de récupération.
- Consultation des journaux de sécurité : dans les paramètres de votre compte Proton Mail, vous pouvez consulter les journaux de sécurité et révoquer l’accès de n’importe quelle session active. Vous pouvez aussi activer les journaux avancés qui enregistrent l’adresse IP pour chaque événement dans les journaux de sécurité.
- Filtres anti-spam performants : notre système intelligent détecte automatiquement les messages indésirables et les dirige dans votre dossier Indésirables/spam. Pour un contrôle plus précis, vous pouvez par ailleurs ajouter et supprimer des adresses e-mail dans votre liste d’adresses bloquées.
- Authentification à deux facteurs (A2F) et clés de sécurité : vous pouvez utiliser l’A2F pour sécuriser votre compte Proton Mail. Nous prenons en charge les codes temporaires qui sont générés par les applications d’authentification, ainsi que YubiKey et d’autres clés compatibles U2F/FIDO2.
- Protection contre le phishing : nous assurons une protection contre le phishing (ou hameçonnage) avec PhishGuard, un ensemble de fonctionnalités avancées conçues spécifiquement pour lutter contre le phishing.
- Mesures contre l’usurpation d’identité pour les domaines personnalisés : pour vous protéger contre les usurpations d’identité concernant votre domaine personnalisé, nous prenons en charge les méthodes d’authentification SPF, DKIM et DMARC.
En surveillant si votre adresse e-mail est victime de fuites de données, en utilisant des mots de passe forts et les fonctionnalités de sécurité de Proton Mail, vous pouvez réduire le risque de fuites de données et protéger vos données personnelles contre les cybermenaces.
Pour soutenir notre mission de créer un meilleur internet, plus respectueux de la vie privée, vous pouvez créer gratuitement un compte Proton Mail.
—
Traduit et adapté par Elodie Mévil-Blanche.