Un autre jour, une autre violation de données massive revendiquée par des pirates. Quelques jours après qu'une brèche chez T-Mobile a révélé les informations personnelles d'environ 53 millions de personnes, un groupe de piratage connu sous le nom de ShinyHunters a annoncé qu'il vendait aux enchères 70 millions d'ensembles de données sensibles prétendument volées à AT&T.

Les informations proposées à la vente étaient similaires dans les deux violations, y compris les noms complets, les adresses, les dates de naissance et les numéros de sécurité sociale. En bref, c'est le fondement de l'usurpation d'identité.

AT&T a répondu vendredi en jetant le doute sur l'affirmation de la prolifique cabale ShinyHunters, déclarant que "sur la base de notre enquête d'aujourd'hui, les informations apparues dans un salon de discussion sur Internet ne semblent pas provenir de nos systèmes".

Quelle que soit l'origine des données, cependant, si elles sont valides, cela pourrait être un cauchemar pour toute personne dont les informations sensibles sont exposées. Voici un guide rapide des risques auxquels vous pouvez être confronté et de certaines des choses que vous pouvez faire pour vous protéger.

Quels sont les risques ?

Les numéros de sécurité sociale sont largement utilisés par le gouvernement fédéral, les banques, les sociétés d'investissement, les programmes de prestations du gouvernement et les assureurs pour vérifier votre identité. Votre numéro de sécurité sociale volé peut être utilisé pour ouvrir des comptes de carte de crédit frauduleux, détourner ou collecter frauduleusement des prestations et commettre une fraude sur le lieu de travail, entre autres formes de tromperie. Ajoutez votre nom, votre date de naissance et votre adresse e-mail (que les ShinyHunters prétendent avoir également volés), et il est beaucoup plus facile pour quelqu'un de se faire passer pour vous.

Les voleurs d'identité pourraient utiliser ces informations pour vous cibler ainsi que les banques, les assureurs et d'autres entreprises avec lesquelles vous faites affaire. Par exemple, ils pourraient l'utiliser pour rendre les e-mails de phishing plus réalistes, en vous aidant à vous persuader de donner des informations sensibles supplémentaires telles qu'un mot de passe ou un numéro d'identification personnel (PIN). Ou ils pourraient l'utiliser pour duper votre banque afin qu'elle change le mot de passe de votre compte, lui donnant ainsi accès à votre argent.

La violation de T-Mobile a également révélé les numéros de téléphone, les identifiants d'appareils et les numéros de carte SIM de plus de 13 millions de ses clients actuels. Cela crée une ouverture pour au moins une autre possibilité maligne :une attaque par échange de carte SIM. C'est là que quelqu'un persuade votre opérateur de téléphonie mobile de transférer votre numéro sur un autre appareil, qu'il utilise ensuite pour tenter de s'introduire dans les comptes que vous avez liés à votre numéro de téléphone.

Il est de plus en plus courant que les gens utilisent leur numéro de téléphone mobile pour vérifier leur identité, par exemple lorsqu'ils se connectent à leur compte bancaire en ligne ou lorsqu'ils souhaitent réinitialiser leur mot de passe. Mais cette commodité peut se retourner contre vous si votre numéro est piraté, puis utilisé pour se faire passer pour vous en ligne.

Pourquoi les compagnies de téléphone veulent-elles votre numéro de sécurité sociale ?

Parce que c'est le moyen le plus simple de vérifier votre cote de crédit. Des entreprises comme AT&T et T-Mobile veulent savoir si vous avez l'habitude de payer vos factures à temps avant d'accepter de vous fournir un compte ou de vous vendre un téléphone par versements mensuels. Et les principales agences de notation utilisent les numéros de sécurité sociale pour faire correspondre les personnes à leurs antécédents de crédit.

"Le SSN est le seul identifiant universel unique pour l'ensemble de la population", a expliqué Francis Creighton de la Consumer Data Industry Association, qui représente les agences de crédit. "Il n'y a rien d'autre qui puisse le remplacer sur le marché actuel."

Les numéros de sécurité sociale aident également à se prémunir contre les personnes établissant des rapports de crédit frauduleux, a déclaré Creighton. Et bien qu'il existe des moyens d'établir un pointage de crédit qui ne dépendent pas de votre numéro de sécurité sociale, a-t-il déclaré, la première étape consiste pour un prêteur ou un fournisseur de services à ne pas le demander. Vous ne pouvez pas être contraint par une compagnie de téléphone ou une autre entreprise du secteur privé de révéler votre numéro, mais en Californie et dans la plupart des autres États, l'entreprise peut alors refuser de vous servir.

Une fois que vous avez payé votre nouveau téléphone ou changé d'opérateur, votre opérateur de téléphonie mobile ne déposera plus de rapports vous concernant auprès des bureaux de crédit, a déclaré Creighton. Néanmoins, les pirates à l'origine de la dernière brèche de T-Mobile ont pu voler les numéros de sécurité sociale d'anciens clients de T-Mobile que l'entreprise conservait pour une raison quelconque.

Au cours de la dernière décennie, les entreprises technologiques ont développé des moyens alternatifs d'identification des personnes pour faciliter la protection contre le vol d'identité, a déclaré André Ferraz, directeur général d'Incognia, l'une de ces entreprises technologiques. Idéalement, a déclaré Ferraz, les entreprises compléteraient les identifiants qui ne peuvent pas être modifiés, tels que les numéros de sécurité sociale, avec des identifiants basés sur les comportements uniques d'une personne, qui évoluent avec le temps. Malheureusement, ces solutions n'ont pas encore été largement adoptées.

Comment vous protégez-vous ?

La meilleure chose à faire est de geler vos dossiers de crédit, ce qui empêchera quiconque d'ouvrir un nouveau compte. Il est libre de placer un congélateur et de le soulever pour vos propres besoins. Mais vous devez contacter chacun des trois principaux bureaux de crédit individuellement, ce que vous pouvez faire en ligne. L'expert en cybersécurité Brian Krebs suggère également de geler les dossiers de crédit conservés par une poignée d'agences spécialisées plus petites. Vous devez également vérifier régulièrement votre pointage de crédit, ce qui est un bon moyen de détecter la fraude après qu'elle se soit produite.

Les services de surveillance du crédit et de l'identité, qui entraînent généralement des frais mensuels, peuvent également aider à révéler le travail des voleurs d'identité. Ils fournissent des outils pour vous empêcher de faire du phishing et d'autres formes de piratage combinés à des services d'analyse qui recherchent votre numéro de sécurité sociale ou votre adresse e-mail dans des endroits en ligne auxquels il n'appartient pas.

T-Mobile offre gratuitement deux ans de service de surveillance de McAfee à toute personne touchée par la violation. Il a mis en place un site Web suggérant d'autres mesures que les gens peuvent prendre pour se prémunir contre la fraude. N'importe qui avec un smartphone serait avisé de les prendre :

• Créez un code PIN pour votre compte de téléphonie mobile afin de fournir une couche de sécurité supplémentaire contre les modifications non autorisées de votre compte, telles qu'un échange de carte SIM malveillant. Si vous êtes un client T-Mobile et que vous avez un code PIN, définissez-en un nouveau.
• Activez la fonctionnalité de "protection contre la prise de contrôle de compte" de T-Mobile, qui fournit une couche de protection supplémentaire en plus du code PIN. Verizon va plus loin en bloquant automatiquement les échanges de carte SIM en fermant à la fois le nouvel appareil et l'existant jusqu'à ce que le titulaire du compte intervienne avec l'appareil existant.
• Modifiez le mot de passe que vous utilisez pour accéder à votre compte de téléphone mobile en ligne. Changer périodiquement de mot de passe est une bonne pratique pour tous vos comptes. Et si vous avez du mal à vous souvenir de dizaines de mots de passe, essayez une application de gestion de mots de passe qui peut les suivre pour vous.

Du côté positif, l'authentification à deux facteurs devient la norme en ligne, ce qui améliore la sécurité sur le Web. Mais trop de sites vous encouragent à faire de ce deuxième facteur un message texte envoyé à votre numéro de téléphone, ce qui encourage la fraude par échange de carte SIM. Dans la mesure du possible, utilisez plutôt une application d'authentification.