GAMEBLOG : Est ce qu'en 2014, on peut vraiment être invisible en utilisant un smartphone, une tablette, un ordinateur ou les réseaux sociaux ?

Damien Bancal : Non, c'est de pire en pire. Il faut savoir qu'aujourd'hui avec un smartphone on nous incite dès son allumage, et je prends l'exemple du téléphone que tu tiens dans ta main (NDLR : un iPhone), à rentrer nos mots de passe Google plus, Google Play, Facebook, etc. Tout ça est une interconnexion qui fait que dès que nous allumons nos téléphones, nous sommes connectés sur le web et les réseaux sociaux.

Qui dit connecté, dit donner sa position, diffuser des photos, etc. et ceci en temps réel. Donc être invisible, c'est possible mais pour cela il ne faut pas se brancher. Soyons clairs, à partir du moment où l'on se connecte, on ne peut pas être invisible. On peut éventuellement retarder la remontée d'informations ou plus simplement ne pas fournir d'infos à Google ou Facebook. Néanmoins, aujourd'hui, il est très compliqué de ne pas donner ses informations si on veut souscrire à un service.


Peux-t-on réellement se faire pirater les informations de son téléphone comme on le voit dans Watch_Dogs ?
Un exemple pour commencer : G Data, un éditeur d'antivirus très sérieux, a diffusé, en janvier 2013, un rapport parlant de plus de 100.000 applications malveillantes sur Google Play qui pouvaient potentiellement nous piquer des informations sur nos téléphones. Un an plus tard, il y en avait 650.000 !

Donc oui, aujourd'hui, il existe un nombre assez impressionnant de logiciels espions qui peuvent mettre à nu les informations d'un utilisateur de smartphone. L'écouter, le photographier, piquer ses SMS, les lire, le géolocaliser, tout cela est possible. Il y a dix ans ces logiciels étaient, peut-être, dans les panoplies d'outils des 007 d'état, mais aujourd'hui l'utilisateur moyen, comme toi et moi, en trouve en claquant des doigts et ils sont, en plus, très simples à utiliser.

Combien coûte un matériel de pirate de ce genre ?
Un ordinateur portable à 300€ et un smartphone chinois à 80€ peuvent suffire. Donc moins de 400€. Le coût aujourd'hui est minime par rapport à il y a dix ans, où il fallait être un professionnel ou être un état pour le financer. Avec du matériel que tu peux trouver d'occasion, tu peux très vite, malheureusement, devenir pirate informatique et nuire. Ca s'est démocratisé... En fait, ça s'est non seulement démocratisé mais ça s'est aussi mondialisé.

Quels sont les dangers qu'encourent nos informations personnelles sur les réseaux sociaux ?
D'abord il y a l'usurpation d'identité. On sait qui je suis, on sait où j'habite, où je suis, où je suis allé en vacances, on sait où je travaille, j'ai éventuellement ajouté mes coordonnées téléphoniques, mes éventuels rendez-vous, etc. Enormément d'entreprises se font avoir et récemment, pour exemple, l'une d'entre elles, dans le sud de la France, s'est fait voler 17 millions d'euros par le biais de quelques appels téléphoniques. Ceci parce qu'ils avaient des informations diffusées à droite à gauche et qu'un escroc, suffisamment malin et qui a du temps, a récupéré tout ça sur les réseaux sociaux.

Un employé qui part de l'entreprise, un patron qui dit "je suis à tel rendez-vous", etc. sont des informations sensibles et les réseaux sociaux permettent de les récupérer très simplement alors qu'avant il fallait se déplacer ou enquêter. Aujourd'hui tu prends un Facebook, un Twitter, un Linkedin pour les professionnels, et tu peux avoir, déjà, énormément de données, comme les CV par exemple.


Ces piratages peuvent-ils vraiment se dérouler en temps réel ?
Oui, en temps réel ! J'ai récemment fait un sujet dans l'émission "Tous surveillés" et tu verras je surveille une journaliste qui est dans un restaurant.

Je l'entends en temps réel, je la filme en temps réel, je fais des copies d'écrans en temps réel de son téléphone et, surtout, je la géolocalise en temps réel. Tous nos smartphones ont des outils GPS intégrés et c'est gratuit mais ils nous tracent, ils sont faits pour ça !

L'usurpation d'identité, tu en parlais tout à l'heure, c'est presque 200.000 cas en France chaque année. Dans quelle mesure peut-on se faire voler son identité en utilisant les réseaux sociaux ?
Il y a dix ans pour trouver ton nom, ton prénom et ton adresse, ton métier, ton téléphone et éventuellement ta date de naissance ou ta petite amie, c'était compliqué. Aujourd'hui avec Facebook, j'ai ces informations en dix secondes en fonction de ce que la personne y a précisé. Et s'il manque des détails, il suffit de recouper d'autres réseaux pour en trouver. Car on met tout sur le Web, même sans le savoir... Le nombre d'amis peut déjà, par exemple, diffuser mes propres informations.

La semaine dernière, justement, il y a des gens qui ont diffusé une photo de moi d'il y a vingt ans lorsque j'ai commencé la radio... On sait où j'ai débuté, on sait où j'ai travaillé, comment j'étais, etc. C'est déjà un début pour quelqu'un qui veut usurper mon identité. Il peut m'appeler en me disant "Tu te souviens il y a 20 ans à la radio... Tu as vu la photo ? Dis moi, tu n'aurais pas..." et c'est parti. Aujourd'hui, cela commence par l'étude sociale de sa cible. Ca veut dire tout connaitre de sa vie pour ensuite attaquer son informatique. Car peut-être que dans les données que diffuse son FB il y a ses mots de passe.

Finalement, on fait confiance à des boites qu'on ne connait pas concernant les données que l'on diffuse...
Déjà, sachez que le meilleur des mots de passe est celui que l'on crée soi-même. Pour autant, il ne sert à rien si l'entreprise en face ne protège pas nos mots de passe. J'ai beau avoir le meilleur des mot de passe, si mes données sont mal protégées par le service que j'utilise, il ne sert à rien !

Pour des sociétés comme Facebook et d'autres grands noms, ils protègent parfaitement nos mots de passe, soyons très clairs. Pareil pour nos banques qui chiffrent tout ça et même eux n'y ont pas accès. Ils nous demandent, si nécessaire, de regénérer un nouveau mot de passe. Mais lorsqu'il y a des entreprises qui nous renvoient nos mots de passe parce qu'on les a oublié et que tu te rends compte que ce dernier n'est pas chiffré dans le courrier, ça veut dire pas mal de choses. D'abord qu'il n'est pas chiffré chez eux non plus et qu'il est accessible via une faille potentielle. Et puis surtout, il est accessible via l'e-mail qui a peut-être été intercepté.


Le phishing (technique consistant à exploiter l'erreur humaine pour obtenir des données informatiques : on clique sur un lien pirate dans un mail inconnu par exemple), comment ça fonctionne ?
Prenons un groupe de pirates qui officient dans le phishing et disons qu'ils sont trois ou quatre. L'un a pour mission de trouver des sites Internet à pirater pour cacher dedans une fausse page (vers laquelle le lien sur lequel vous avez cliqué dans votre mail vous guide) qui vous demande vos accès bancaires, vos codes confidentiels, etc. Un autre enverra des milliers de courriers avec le lien piégé en question à des gens qu'il ne connait pas mais dans le lot, il sera certain d'en piéger 10%. Le troisième, de son côté, devra trouver les mules qui vont blanchir l'argent qui va être volé.

Tout cela peut être un groupe ou une seule et même personne. La semaine dernière, entre la Belgique et la Hollande, un trafic de ce genre a été démantelé. Un type piégeait les gens et une dizaine d'autres allait retirer l'argent pour le blanchir en achetant des choses et en les revendant. C'est malheureusement très simple à mettre en place mais c'est très risqué. Et heureusement d'ailleurs puisque la justice est quand même là pour nous protéger. Evidemment, il y a aussi du commerce de données pirates : un type va acheter des sites préalablement piratés, un autre va acheter des bases de données d'e-mails, un troisième va se procurer des bots pour balancer les milliers d'e-mails et un dernier vendre des pages de phishing. Tout cela s'appelle le marché noir numérique.