La société de transports en commun Divia a été touchée par une cyberattaque fin août. Les noms, prénoms, dates de naissance, numéros de téléphone et IBAN de certains clients ont fuité. Que faire si vous êtes victime d'un tel piratage ?
"Un tiers non autorisé est parvenu à accéder à des données vous concernant" : si vous avez reçu un courriel de DiviaMobilités contenant ce message d'alerte, vous faites partie des clients dont les informations personnelles ont fuité lors de la cyberattaque qui a touché le réseau de transports en commun dijonnais à la fin août.
Difficile d'évaluer l'ampleur des dégâts, les investigations du transporteur sont toujours en cours. Ce que l'on sait, c'est que le ou les pirates ont mis la main sur les noms, prénoms, dates de naissance, adresses postales, emails, numéros de téléphone et IBAN de plusieurs détenteurs d'une carte DiviaMobilités ou d’un compte sur la boutique en ligne Divia. Voici l'essentiel à savoir pour limiter les dégâts.
Changer de mot de passe sur son compte Divia
Vous disposez d'un compte sur divia.fr, changez votre mot de passe, y compris si vous n'avez pas reçu de mail d'alerte de la part de DiviaMobilités. "Les systèmes ne sont pas infaillibles. Il se peut qu’il y ait eu un oubli dans la liste de diffusion de mails", explique Kevin Le Croller, ingénieur en sécurité et développement chez 3S Sécurité, une société dijonnaise qui accompagne des entreprises en matière de cybersécurité. "Mieux vaut avoir un excès de prudence. L’humain et les systèmes d'alerte ne sont pas infaillibles".
Penser aux comptes qui utilisent le même mot de passe
Les conséquences du piratage peuvent s'avérer dévastatrices pour vos autres comptes personnels. Si vous avez choisi un mot de passe commun à plusieurs plateformes dont Divia.fr, il va falloir les changer sur les sites concernés. "La bonne pratique consiste à avoir un mot de passe sur chaque service", indique Kevin Le Croller. Et pour encore plus de sécurité, optez pour un gestionnaire de mot de passe : "ça génère des mots de passe compliqués, longs et uniques à chaque service"
Demander quelles données ont fuité
Rien ne vaut une mise au point directement au délégué à la Protection des Données (DPO) de Divia, en contactant l’adresse suivante dpo-diviamobilites@keolis.com. Car personne n'est à l'abri du risque d'usurpation d'identité. En fonction des informations collectées, les hackeurs sont susceptibles de déduire des mots de passes. "Ils s'appuient sur la psychologie des gens", détaille le consultant en cybersécurité.
"Quand on doit créer un mot de passe complexe sur un site qui l'exige, on commence souvent par un prénom, puis un nombre de 2 ou 4 chiffres, et on met le caractère spécial à la fin. Si on connaît déjà le prénom ou la date de naissance, on peut le deviner beaucoup plus facilement", poursuit le consultant.
Attention aux tentatives d’hameçonnage
Même si le mail d'alerte semble provenir de Divia, méfiez-vous des apparences. Il peut s'agir d'une tentative de phishing ou d'hameçonnage. En clair : un piège ayant pour but de vous inciter à communiquer d'autres informations confidentielles (comptes d'accès, mot de passe...). En l'espèce, les hackeurs se font passer pour Divia en utilisant des noms de domaine extrêmement proches.
Une manœuvre bien connue de Kevin Le Croller : "Les pirates profitent de la situation du moment. Ils peuvent envoyer un mail contenant un lien pour changer de mot de passe et remplacer un caractère du nom de domaine part une lettre de l'alphabet cyrillique par exemple".
Si mon IBAN a été piraté, faut-il s'inquiéter ?
Aucune inquiétude à avoir si votre IBAN fait partie des documents piratés, d'après l'expert. "Il n'y a pas de risque d'avoir un prélèvement d'argent. C'est un document qui permet seulement de recevoir un virement", précise le consultant.