Les données publiques de 2,6 millions d’utilisateurs de Duolingo ont été divulguées sur un forum de pirates informatiques. Bien qu’il ne s’agisse pas de données sensibles, celles-ci permettraient aux personnes mal intentionnées de faire des tentatives d’hameçonnage ciblées, voire de harponnage, en utilisant les informations recueillies. On vous explique ce qu’il en est, et quoi faire pour vous protéger.
Duolingo, c’est un des outils les plus utilisés pour apprendre une autre langue, mais voilà qu’on apprend que les données publiques de 2,6 millions d’utilisateurs ont été retrouvées sur le dark web.
Heureusement pour ceux concernés, leurs informations sensibles, comme le mot de passe par exemple, n’ont pas fuité.
Ce qui a été aperçu, c’est plutôt des informations publiques retrouvées à l’aide d’outils complètement légaux. On parle du nom et prénom au compte, de l’adresse courriel liée à celui-ci, etc.
On peut dire que c’est une « demi-bonne nouvelle », dans le sens où même si les mots de passe sont restés en sécurité, la fuite de ces informations, mêmes publics, alimente les tentatives d’hameçonnage et de harponnage.
Les conséquences d’une fuite de données publiques
Je me fais souvent demander « François, comment ça se fait que l’on reçoive autant de spam et de tentatives d’hameçonnage? »
Ce type de fuite d’information est l’exemple parfait.
Les fraudeurs en profitent pour ramasser de l’information et se bâtir un dossier justement dans le but de nous envoyer des tentatives d’hameçonnage et de harponnage par courriel.
Ils achètent les informations récoltées pour quelques dollars à peine et savent ainsi que monsieur ou madame untel a de l’intérêt à apprendre une langue.
Disons que ça permet un envoi de courriel frauduleux très personnalisé, et donc plus convaincant que jamais.
Quoi faire pour se protéger d’une telle fuite de données
Bien que ça soit vraiment un événement très fâcheux, on ne devrait pas non plus s’affoler en apprenant la fuite de chez Duolingo.
Mieux vaut tourner ça en positif et en profiter pour passer en revue nos options de protection contre ce type de phénomène.
D’abord, prenez un deux minutes sérieux pour aller lire ma chronique qui explique ce qu’est le harponnage. Vous allez voir, c’est presque impossible de les détecter si on ne sait pas déjà ce que c’est!
Puis, vous me voyez peut-être venir, mais je vous suggère d’en profiter pour vous doter d’un gestionnaire de mot de passe si ce n’est pas déjà fait.
On en choisit un qui peut être utilisé sur tous nos appareils, bref, pas celui d’iOS qui n’est plus disponible une fois qu’on travaille sur notre ordinateur Windows ou vice-versa.
J’en profite pour vous rappeler que si, à cause de la fuite, un pirate connait votre nom et votre adresse courriel, rien ne les empêche d’utiliser l’intelligence artificielle pour déchiffrer votre mot de passe.
En date d’aujourd’hui, ces fameuses intelligences artificielles réussissent à trouver les mots de passe de 50% de leurs victimes en moins de 1 minute, d’où l’importance d’avoir des mots de passe longs, forts et uniques.
Bref, en résumé: on ne s’énerve pas, mais on en profite pour se protéger, parce que la seule façon de réellement se tenir à l’abri de la fraude, c’est en faisant de la prévention.
D’ailleurs, avez-vous gelé vos bureaux de crédit? On explique comment le faire gratuitement pour Equifax et TransUnion par ici.