protéger vos données personnelles

C’est la rentrée … et si vous protégiez vos données ?

Avec la rentrée des classes sonne aussi l’inscription de données personnelles dans des associations, clubs de sport, des documents administratifs aussi divers que variés. Et si vous protégiez vos données privées et personnelles ? Mais saviez-vous que les données papiers que vous fournissez à tour de bras aux écoles, associations, administrations (territoriales, …) sont aussi de magnifiques sources de données personnelles pour les pirates. Je vais vous expliquer quelques trucs et astuces que je mets en place depuis des années pour protéger les documents qui peuvent m’être réclamés.

Protéger vos données personnelles – Septembre 2019, les fiches scolaires, d’associations, … se ramassent comme les feuilles mortes tombées des arbres en automne. Toutes ces fiches réclament des informations personnelles et très souvent privées : Nom, prénom, adresse, téléphone (portable/fixe), mail pour les plus « communes ». Santé, arrêt de bus, RIB, certificats médicaux, … pour les plus sensibles.

Mais que deviennent ces documents ? Finissent-ils à la poubelle comme dans cette grande école de management lilloise ? Sont-ils consultés par des tiers de confiance ou non ? Comme ces très nombreux présidents d’associations que je peux croiser dans mon métier qui « refilent » la liste des adhérents pour leur offrir ce super -20% sur les produits correspondants à leurs activités sportives, culturelles, sociales, … Comme cette fiche papier tendue par des vendeuses de produits pour régime, et réclamant… le numéro de sécurité sociale. Des données qui deviennent très rapidement non maîtrisables. Pouvant être perdues, consultées par des personnes non autorisées, volées…

Pour vous protéger, et remonter le plus rapidement possible ces fuites, voici quelques idées que j’utilise parmi les 10ème que j’ai pu créer. A noter que pour vous, ZATAZ propose un Service de Veille qui permet de surveiller plus de 3 000 sites pirates et autres espaces de ventes/échanges malveillants de données personnelles et privées volées : mot de passe, mail, téléphone, plaque d’immatriculation, pièces d’identités … Pour la rentrée 2019, le service veille zataz vous offre 19% de réduction en tapant le code : rentree2019.

Petits exemples

Voici quelques petits exemples que ZATAZ a traité.

D’abord cette association dédiée à un Marathon qui s’organise dans les Alpes. Des scans de cartes nationales d’identité, de permis de conduire, sauvegardés sur un blog.

Ensuite, les deux captures écrans ci-dessous vous montrent des « boutiques » de données volées !

Une « boutique » de données volées et revendues !

Protéger vos données personnelles

Le vol de base de données, écoles, associations, entreprises… finissent dans ce genre d’entrepôts pirates.

Alors, comment agir pour se protéger ? Voici quelques pistes.

Code barre

Première idée, le « code barre« . Une méthode qui reprend la technique du code-barres que nous pouvons croiser sur les produits manufacturés. Ma technique est de créer une série de « bâtons » correspondant à la société/administration/association qui réceptionne mes informations. Par exemple, I II I III (image ci-dessous) sera votre garagiste. Rajoutez cette information sur le scan qu’il vient de faire de votre carte grise par exemple. II I I III sera l’école. II II II II sera le club sportif qui vous accueille. Etc. …

Vous placez ces barres où vous le souhaitez dans le document. Si ce dernier est scanné, sauvegardé sur la toile n’importe comment et qu’il apparaît, vous aurez la possibilité de mettre la main sur le fautif et les actions à mener.

Des p’tits points

Seconde méthode, la technique des « petits points« . Ici, vous remplacez les barres par des points que vous rajoutez à la fin de vos phrases (image ci-dessous). Voici un exemple : « Quand vous êtes capable, feignez l’incapacité.. vous agissez, feignez l’inactivité… vous êtes proche, feignez l’éloignement. Quand vous êtes loin, feignez la proximité..« 

Ici, la finalité est donc de trouver une série de points : .. … . .. Ce nombre vous donnera le nom de l’entité qui possède dorénavant vos informations. Un watermark (tatouage numérique) simple et efficace. Si vous retrouvez un scan d’un document et de vos données, vous pourrez découvrir rapidement qui est le fautif et les actions à mener.

Mails, téléphones, …

Troisième technique – Je ne cesse de le répéter, mais une adresse mail unique, dédiée à un espace précis n’est pas un gadget de geek. Le mail sera un moyen parfait pour remonter à la source d’une potentielle fuite de données. [email protected] ; [email protected] ; [email protected]

Vous identifiez le récepteur de cette information en l’incluant dans la partie locale de votre adresse. Soit son nom, soit un code que vous maîtrisez. Exemple entreprise X aura comme numéro 92829. Cela donnera [email protected]. Il existe de nombreux sites vous permettant d’ouvrir des adresses mails gratuitement. Vous avez besoin d’une adresse mail pour une durée limitée ? jetable.org ou encore mohmal.com vous seront utiles. Il permet de créer une adresse mail pour quelques heures, jours, …

Une seconde ligne éphémère

Dans cet ordre d’idées, pour le téléphone, même idée d’anonymisation et protection de votre vie privée. Je peux vous conseiller le service OnOff. Cette application pour smartphone lancée en 2015 par Taïg Khris, le champion de roller, vous permet de créer un numéro de téléphone. Ainsi, vous possédez un numéro de téléphone secondaire, que vous pouvez distribuer, sans être obligé de fournir votre « officiel », celui que vous souhaitez garder uniquement pour la famille et proches. Un numéro généré spécialement et qui pourra vous éviter de voir finir le numéro de la maison finir entre des mains de pirates, de marketeurs ou de politiques comme le cas qui vient de toucher des milliers de lycéens de la région la Région Auvergne-Rhône-Alpes. Le président des Républicains, explique Mediapart, a utilisé le fichier d’un dispositif régional à destination des jeunes pour envoyer un SMS à des dizaines de milliers de lycéens pour leur souhaiter une bonne année scolaire.

A cet égard, petit truc en plus, pour la protection de vos données. Dans votre mot de passe, rajoutez un identifiant que vous êtes seul à connaitre. Il va correspondre à l’espace qui exploite le sésame. Pour être plus clair, par exemple, mon mot de passe pour la FNAC pourrait être 92As82t9!Pg*Jf566. 92 sera la boutique FNAC. 93ADaje-95§mJ et donc 93, pour Amazon. Etc.

Protéger vos données personnelles : boucher les trous

Quatrième méthode que je vous propose, j’en exploite une trentaine, la technique des « trous bouchés« . L’idée, remplir certaines lettres des documents qui vous sont fournis (image ci-dessus).

Par exemple, je vais m’orienter sur les lettres « o » d’une fiche proposée par une association. Je ne vais pas noircir l’ensemble des « o ». Je vais en sélectionner un certain nombre. Par exemple, je vais noircir 3 « o » pour l’association A ; 5 « o » pour l’association B ; …

Prenez en photo ce que vous tatouez

Pour finir avec cette idée de protéger les documents que vous transmettez, n’oubliez pas de noter à quoi correspondent vos tatouages numériques. Si une entreprise, association, … souhaite scanner vos documents, comme votre carte crise, votre carte nationale d’identité, votre feuille d’imposition … prenez en photo le scan qui comporte vos watermarks. N’hésitez pas à additionner les possibilités. Points + mails ; mails + téléphones ; … Ma méthode est loin d’être exhaustive. Soyez imaginatif dans la protection de vos informations personnelles.

Données personnelles à l’école : théorie vs pratique

Si le RGPD change la donne pour bon nombre d’acteurs, l’environnement pédagogique avait déjà sa propre réglementation en matière de digital.

En effet, l’arrêté du 30 novembre 2006, modifié par l’arrêté du 13 octobre 2017, définit l’acte réglementaire unique RU-003 destiné à régir la mise en place et l’exploitation des Espaces Numériques de Travail dans l’ensemble de l’écosystème scolaire, des établissements publics aux établissements privés, et de l’Éducation Nationale à l’enseignement supérieur. Le RU-003 définit quelles données peuvent être enregistrées, à qui elles peuvent être destinées, combien de temps elles peuvent être conservées et garantit également un certain nombre de droits aux utilisateurs. Le chef d’établissement, l’inspecteur ou le recteur académique doivent déclarer les données de leurs élèves auprès de la CNIL.

Une norme sécuritaire stricte

Néanmoins, si le RU-003 impose théoriquement une norme sécuritaire stricte, la réalité du terrain est plus opaque. En effet, malgré une réglementation responsabilisant le Ministère et les établissements, aucun contrôle coercitif n’est exercé sur l’utilisation parfois peu vigilante des données personnelles par les enseignants.

Ainsi, certains sites Internet ou certaines applications déconseillées, voire interdites aux moins de treize ans, peuvent être utilisées par les professeurs dans le cadre d’un enseignement primaire. En réalité, à l’école comme au quotidien, rares sont ceux qui se préoccupent des conditions d’utilisation des produits, même pédagogiques.

RGPD et protéger vos données personnelles ?

Quoi qu’il en soit, le RGPD contraint désormais les intervenants à exercer un contrôle très strict sur l’utilisation des données personnelles, notamment en veillant à ne pas permettre l’exploitation ou la revente des données utilisateurs à des acteurs privés. En parallèle, le règlement, pensé pour redonner aux citoyens le pouvoir sur la propriété de leurs données, promet en effet le respect d’un certain nombre de droits : Le droit à l’effacement des données, si l’élève quitte l’établissement ; à la rectification si celui-ci est en désaccord sur la manière dont il peut être présenté ; limitation de l’utilisation de ses données ; la portabilité de ses données personnelles : lorsqu’il quitte l’établissement, il peut récupérer l’ensemble de ses données puisque celles-ci lui appartiennent.

Protéger vos données personnelles – Un sacré « merdier »

En effet, je vais prendre l’exemple de la collégienne de la famille : 1 fiche pour l’établissement ; utiliser un site pour réserver ses repas de restauration scolaire ; un site web dédié à ses notes et communications avec les enseignants ; une fiche pour l’association des parents d’élèves ; l’assurance ; l’association sportive ; la carte de bibliothèque ; la carte de transport en commun ; …

En conséquence, des sanctions financières extrêmement dissuasives pour les établissements responsables d’un manquement au respect de la législation leurs pendent au nez. Les risques encourus sont bien réels [lire].

En d’autres termes, vous comprenez pourquoi je vous conseille fortement d’être acteurs de vos données personnelles en profitant de ce tutoriel. Protéger vos données personnelles n’est pas un gadget !

Pour conclure, ZATAZ vous propose un service veille qui permet une alerte par courriel en cas de fuite de vos données dans le black market. Si jamais vos informations « sortent » dans ce genre d’espace malveillant, il vous sera possible de le savoir dans la mesure où nous y avons accès.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Snowglobe Reply

    Une personne qui s’était déjà fait voler son identité proposait de noter en travers et en gros sur les documents envoyés « Usage unique pour la société XXXXX + DATE »
    L’avantage de cette solution, et que cela décourage les personnes malveillantes de réutiliser ce type de documents car plus contraignants à modifier.
    Mais vos documents peuvent mettre plus de temps à être acceptés par les systèmes de traitement automatique.

  2. Electron Reply

    Bonjour Mr Bancal,

    Très intéressant.

    Il est clair que pour le commun des mortels, ça ressemble fortement à de la paranoïa 😉

    Si je parle de ça autours de moi, ils vont me trouver plus bizarre encore 🙂

    Mais comme disait Pierre Desproges : »Je sais que je suis paranoïaque, mais ce n’est pas parce que je suis paranoïaque qu’ils ne sont pas tous après moi. »
    C’est vrai que l’un n’exclus pas l’autre… 😉

    Bon ici, c’est plus les données qui intéresse les fraudeurs, plutôt que les personnes. Mais l’impact sur les victimes est loin d’être négligeable.

    Pas sûr de mettre en pratique ce genre de chose (une contrainte de plus ?). Ça ouvre tout de même les yeux sur un risque potentiel avec quelque techniques pour gérer nos données.

    Encore merci pour l’article.

    Bien à vous,
    Electron.

  3. JPPing Reply

    Génial. Merci beaucoup.

  4. Matth F Reply

    Hello Damien,

    pas con l’idée du code-barre, des petits points ou des « trous bouchés », mais cela suppose, pour identifier une fuite, de tomber sur le document original (ou sa version scannée), ce qui AMHA est extrêmement peu probable vu que les données recueillies vont sûrement finir dans une base de données quelconque (ou un .xls). Je n’imagine pas les personnes en train de faire « fuiter » des données personnelles en train de transmettre des scans de documents remplis à la main (et encore moins des feuilles de papier).
    Concernant les mots de passe, c’est une excellente idée d’avoir des mots de passe différents selon les sites, mais pourquoi se compliquer la vie avec un préfixe (92=Fnac, 93=Amazon, …) + une base « As82t9!Pg*Jf566 », alors qu’un simple « FNAC_As82t9!Pg*Jf566 » ou « AmaZon_As82t9!Pg*Jf566 » ferait l’affaire plus simplement tout en allongeant d’autant ledit mot de passe ?

    Merci pour « OnOff » que je ne connaissais pas 😉

    • Damien Bancal Reply

      Bonjour Math,
      Vous seriez étonné du nombre de document que des associaions, écoles, … scannent pour une question de « confort » et qui sont ensuite stockés sur le web.

      Cordialement

    • Damien Bancal Reply

      En ce qui concerne le prefixe, je le deconseille. Dans les bases de données que je peux voir (une dizaine par jour) à la revente dans le deep web et blackmarket, les pirates ne savent pas obligatoirement d’oû proviennent les informations. Leur fournir cette indication « FNAC_As82t9!Pg*Jf566 » ou « AmaZon_As82t9!Pg*Jf566 » leur indique déjà la source du précieux sésame 🙂

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.