Vous partez en vacances ? Et si vous contrôliez les données que vous allez fournir

Passeport, permis de conduire, adresse électronique, les vacances sont propices à la diffusion d’informations personnelles. Avant de partir, où alors vous lisez ZATAZ les pieds dans l’eau à deux pas de votre hôtel, camping, voici de quoi vous pencher un peu plus sérieusement sur vos données que vous allez, dans quelques minutes, sécuriser un peu mieux. Je vous le garantis.

Il y a quelques jours, je suis tombé nez-à-nez avec une proposition commerciale malveillante concernant des données volées dans plusieurs hôtels d’Amérique du Sud, de la Havane et de Turquie.

Il faut savoir que dans la grande majorité des pays, choisir comme lieu de résidence pour ses vacances un hôtel implique de fournir de nombreuses informations personnelles, comme le passeport. C’est imposé par le Ministère du Tourisme ou de l’Intérieur.

J’ai plusieurs exemples très concrets de fuites potentielles qu’il faut contrôler un maximum: le guide vous propose de faciliter votre séjour et prend en charge vos passeports pour l’hôtel ;

J’ai aussi pu croiser des hôtels qui laissent les passeports accessibles sur une table après avoir récupéré les contenus pour leurs fiches d’identification.

Vous ne rêvez pas ! Le distributeur de billets est sur la même box que les ordinateurs de l’hôtel !

Je ne vous parle même pas des documents imprimés terminant leur vie dans les poubelles, et donc récupérable ;

Ou encore les scans des documents physiques stockés dans les ordinateurs. Et c’est dans cet exemple concret qu’il faut être très attentif. Je viens de découvrir des ventes et des diffusions dans des blackmarkets qui devraient vous convaincre à plus de sécurisation de vos données.

Des dizaines de milliers de passeports piratés

Ma première découverte est dans la commercialisation de plusieurs dizaines de milliers de passeports et autres cartes de nationalité qu’un pirate vend dans trois black market distincts. Deux d’entre eux sont accessibles via le réseau TOR.

Compter moins d’une dizaine de dollars américain le scan.

Ce malveillant indique les avoir volé dans les ordinateurs de plusieurs grands hôtels. Et comme le montre la vidéo que je vous ai réalisé (elle a été présentée dans La Cyber Emission sur Twitch), il en a beaucoup, mais alors vraiment-vraiment beaucoup.

J’ai pu en intercepter plus de 1.000. Il indique en posséder 100 fois plus. J’ai pu constater des documents officiels d’américains, d’anglais, de canadiens, de belges, d’espagnols, de russes, ou encore de français.

Les hôtels visés accueillent des milliers de personnes et des dizaines de nationalités chaque année, autant dire que ce pirate doit posséder un stock imposant !

Que peut faire un pirate avec ces informations ?

Usurpation d’identité (faux papier) ; recherche de données complémentaires sur les propriétaires des documents ; inscription sur des plateforme réclamant la confirmation d’une identité. Les possibilités sont tellement nombreuses.

Comment se protéger ?

Malheureusement très difficile. Les fuites possibles sont tellement nombreuses que je vous conseille surtout de watermarker vos documents. Un watermark est une un signe distinctif inscrit sur et/ou dans un fichier numérique. Les plus connus sont ceux cachés dans les films diffusés dans les cinémas. Ils peuvent être sonore, image … Le watermark permet aux majors de remonter au cinéma diffuseur, par exemple.

Pour vos documents, voici quelques pistes. A vous d’inventer votre propre cybersécurité. Plus elle vous sera personnelle, plus elle sera compliquée pour un malveillant de la cerner.

Wifi privé pour les clients de l’hôtel. L’hôtelier aurait pu faire un effort en rajoutant 0 et 9 !

Par exemple, dans mon cas, dès que je fournis mon passeport je veux voir le scan ou la photocopie réalisés.

Pour le scan, je le prends en photo. Des traces du scanner inclues dans la copie numérique me permettront, en cas de fuite et de diffusion pirate, de retrouver la source du « fuiteur ».

Pour une photocopie, plus simple, je note date, lieu et je glisse deux/trois petits signes que seul moi connais.

Par exemple, je noircis les lettre o des premières phrases. Informations que je note et/ou que je prends en photo.

N’hésitez pas à montrer à l’hôtelier, et ses équipes, que vous sécurisez vos infos.

N’hésitez pas, non plus, à lui demander ce qu’il va faire des informations (stockage, but final, …). Certains pirates agissent en interne. Afficher votre contrôle pourrait sauver vos données de leurs appétits. Comme le montre ma capture ci-dessous, certains employés vont jusqu’à photographier les données de clients à même les lits de l’hôtel !

 

Je ne suis pas grand, mais assez pour atteindre câble et port USB dans ce couloir d’hôtel !

Bref, votre sécurisation doit être extrême, car malheureusement, je croise trop souvent des actions pirates extrêmes.

Je finirai avec quelques autres derniers conseils. N’utilisez JAMAIS les ordinateurs proposés en libre-service dans les hôtels pour consulter vos messageries électroniques, compte en banque. Créer une adresse électronique dédiée uniquement pour les vacances. Elle permet de rester en contact avec la famille, si besoin. Un VPN, indispensable si vous souhaitez utiliser le wifi de votre lieu de villégiature (fortement déconseillé).

Pour finir avec la meilleure des cyber protections : déconnectez-vous, après tout, c’est les vacances !

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Pingback: ZATAZ » 2 millions d’abonnés au site MYM dans les mains d’un pirate ?

  2. Joe Reply

    > Comme le montre ma capture ci-dessous, certains employés vont jusqu’à photographier les données de clients à même les lits de l’hôtel !

    ..y’a un rapport avec la photo du routeur Wifi sous cette phrase ? j’ai pas compris…

    • Damien Bancal Reply

      Bonjour « Joe »,
      Effectivement, avec l’image, cela va fonctionner beaucoup mieux 🙂
      cdt

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.