Qu'est-ce que les fuites de données ?

Les fuites de données concernant vos employés sont affichées de deux manières distinctes, selon que leur potentiel d'exploitation est confirmé ou non.

1. 🆕 Fuites de données avec potentiel d'exploitation confirmé

   1. Vulnérabilité « Identifiants utilisateurs valides trouvés dans une fuite de données/MO365/Fortinet »

   2. Comment Stoïk confirme-t-il le potentiel d'exploitation de la fuite ?

2. Fuites de données dont le potentiel d'exploitation reste à confirmer

   1. Comprendre les résultats

   2. Pourquoi un ancien employé apparaît-il dans l'onglet Fuite de données ?

   3. Pourquoi une alerte concerne-t-elle une station de travail qui ne nous appartient pas ?

   4. Pourquoi la date de notification d'une fuite ne correspond-elle pas toujours à la date de compromission ?

   5. Pourquoi certaines fuites de données indiquent-elles une source inconnue ?

3. Que faire en cas d'alerte de fuite de données ?

1. 🆕 Fuites de données avec potentiel d'exploitation confirmé

Il s'agit des fuites de données les plus critiques, ce qui signifie qu'un attaquant pourrait les utiliser directement s'il parvenait à les obtenir. En raison de leur criticité, une vulnérabilité dédiée est créée pour chacune d'elles dans les résultats du Scan Externe Stoïk.

1.a. 🆕 Vulnérabilité « Identifiants utilisateurs valides trouvés dans une fuite de données/MO365/Fortinet »

Notre Scan Externe vous alerte si les identifiants trouvés par notre onglet Fuite de données sont toujours actifs.

Concrètement, les identifiants clients divulgués sur le Dark Web sont désormais automatiquement testés sur l'URL concernée pour vérifier leur validité, grâce à un développement interne de Stoïk utilisant l'IA générative.

Si la validité est confirmée, une vulnérabilité de niveau « élevé » est créée lors de l'analyse du Scan Externe Stoïk, incitant les utilisateurs à mettre à jour leurs identifiants.

Le nom d'utilisateur et l'URL sont alors affichés sur Stoïk Protect (le mot de passe peut être communiqué sur demande expresse à [email protected]).

Étant donné qu'il s'agit d'une vulnérabilité « élevée », les analystes CERT de Stoïk vous notifieront proactivement par e-mail si une alerte de ce type apparaît.

1.b. Comment Stoïk confirme-t-il le potentiel d'exploitation de la fuite ?

Les fuites de données testées par Stoïk proviennent principalement de deux sources :

1. Fuites issues de bases de données de mots de passe (Combolists) : Ces bases de données sont des ensembles d'identifiants (e-mails, mots de passe) récupérés à partir de plusieurs fuites passées et agrégés sans contexte clair. Exemple : [email protected] / M0t2Pa$$ / supersite.com Ces combolists ne révèlent pas toujours le site exact où les identifiants ont été divulgués. Cela rend difficile le test des identifiants sur le service mentionné. Dans ce cas, Stoïk teste automatiquement les identifiants sur des services critiques et largement utilisés tels que Microsoft 365 (O365) ou le VPN Fortinet (si ce service est utilisé par l'assuré). 💡 Nous ne testons pas les identifiants directement sur le site mentionné, sauf s'il est connu avec certitude, comme dans le cas des log stealers (voir ci‑dessous).

2. Fuites issues de malwares (stealers) : Les stealers sont des malwares installés sur des machines compromises qui récupèrent les identifiants utilisés localement. Ces fuites sont beaucoup plus précises : elles incluent généralement les trois éléments suivants : e‑mail / mot de passe / URL de connexion exacte. Exemple : [email protected] / M0t2Pa$$ / https://supersite.com/loginpage.php Lorsque l'URL est clairement identifiée, les identifiants sont testés directement sur le site correspondant, en plus de Microsoft 365 (O365) et du VPN Fortinet. Cette précision réduit fortement les faux positifs et cible efficacement les risques de compromission active.

Récapitulatif des vérifications effectuées par Stoïk :

Si l'URL concernée est Fortinet ou O365, la vulnérabilité affichée s'intitule « (...) trouvé dans Fortinet/Microsoft Office 365 dataleak ». Sinon, la vulnérabilité affichée s'intitule « (...) trouvé dans une fuite de données », et l'URL est précisée dans les détails de la vulnérabilité.

Par défaut, si les résultats des vérifications effectuées par Stoïk sont vides, aucune vulnérabilité n'est créée, mais la fuite est toujours affichée dans l'onglet « Fuite de données ».

2. Fuites de données dont le potentiel d'exploitation reste à confirmer

2.a. Comprendre les résultats

Surface Externe > Résultats > Fuites de données liste toutes les fuites de données détectées parmi vos employés, que leur potentiel d'exploitation ait déjà été confirmé ou non.

La date affichée correspond généralement au moment où notre outil a détecté la fuite de données, et non à la date réelle de la fuite.

En cliquant sur une fuite de données spécifique, vous pouvez accéder aux résultats détaillés. Voici deux exemples d'interprétation des résultats :

1. « IP » et « Mot de passe » : Pour cet exemple, comprenez que pour l'adresse e‑mail [email protected], le mot de passe en clair et l'adresse IP ont été divulgués lors de la fuite de données Adobe Data Breach 2024 pour le domaine my-company.com.

2. « Mot de passe » et « Mot de passe chiffré » : Pour cet exemple, comprenez que pour l'adresse e‑mail [email protected], le mot de passe en clair ("password") et le hash ("mot de passe chiffré") ont été divulgués sur plusieurs sites d'origine inconnue, d'où le terme « combolists ».

2.b. Pourquoi un ancien employé apparaît-il dans l'onglet Fuite de données ?

Si vous voyez une alerte concernant un compte associé à un employé qui n'est plus dans l'entreprise, il existe plusieurs raisons logiques à cela.

Origine : Il ne s'agit pas d'un compte Active Directory ou d'une adresse e‑mail d'entreprise directement active dans votre système informatique, mais plutôt d'un compte utilisateur tiers utilisant une adresse de votre domaine, par exemple : [email protected] enregistré sur un site externe, comme https://random.saas. Ce type de compte peut appartenir à :

• Un ancien employé qui a créé un compte SaaS avec son adresse professionnelle.

• Un compte encore actif dans une application SaaS, dont l'adresse e‑mail professionnelle reste valide.

• Un compte externe créé sans vérification de l'adresse e‑mail, ce qui est possible sur certaines plateformes.

Raison de la détection : L'alerte est générée par Stoïk parce que l'adresse e‑mail du compte est liée à votre nom de domaine ou parce que le mot de passe associé à ce compte est apparu dans une fuite de données publique. Ainsi, même s'il s'agit d'un ancien employé ou d'un compte non géré par votre service informatique, ce compte peut :

• Être encore facturé à votre entreprise (fréquent pour les abonnements SaaS)

• Avoir accès à des données internes, si aucune révocation n'a été effectuée

• Représenter un risque de compromission indirecte (réutilisation de mot de passe, attaque par rebond)

Recommandation : Dans cette situation

• Identifier si le compte est toujours actif dans l'application concernée

• Révoquer ou désactiver le compte si vous en avez le contrôle

• Contacter l'éditeur SaaS pour demander la suppression si nécessaire

• Mettre à jour vos procédures de départ des employés pour inclure la révocation systématique des comptes tiers

2.c. Pourquoi y a-t-il une alerte pour une station de travail qui ne nous appartient pas ?

Vous pouvez recevoir une alerte cybersécurité pour une station de travail qui n'est pas répertoriée dans votre inventaire IT. Cela peut surprendre, mais plusieurs explications sont possibles.

Un appareil personnel d'un employé

• Origine : Un employé peut, volontairement ou par habitude, accéder aux ressources de travail depuis un appareil personnel (ordinateur personnel, tablette, etc.).

• Raison de la détection : L'alerte est générée par Stoïk parce que cette station de travail n'est pas sécurisée ou supervisée par vos équipes IT et peut donc représenter un point d'entrée vulnérable pour des attaques (ransomware, vol de données).

• Recommandation : Dans cette situation, demandez à votre employé de limiter cet usage ou de sécuriser son appareil (chiffrement, antivirus, mot de passe robuste, etc.). Il est fortement recommandé de revoir votre politique d'utilisation des appareils personnels (BYOD) si ce n'est pas déjà fait.

Station de travail d'un prestataire ou sous‑traitant

• Origine : Il est possible qu'un prestataire (support IT externe, consultant, freelance, etc.) accède à vos données ou systèmes depuis sa propre station de travail.

• Raison de la détection : L'alerte est générée par Stoïk car il s'agit de vos services ou de votre domaine. La station de travail est considérée à risque si elle est compromise ou mal protégée.

• Recommandation : Dans cette situation, vérifiez si ce prestataire est toujours actif dans l'entreprise. Sinon, révoquez son accès. Sinon, assurez‑vous que de bonnes pratiques de sécurité sont en place de leur côté.

Station de travail partagée ou publique (hôtel, terminal, cybercafé, etc.)

• Origine : Dans de rares cas, vos services peuvent être accessibles depuis un terminal public ou partagé : terminal d'hôtel, PC de salle de réunion, etc.

• Raison de la détection : L'alerte est générée par Stoïk car ces machines sont fortement exposées aux malwares ou keyloggers. En effet, les connexions y sont rarement chiffrées ou privées.

• Recommandation : Dans cette situation, il est essentiel de rappeler à vos employés de ne jamais utiliser un ordinateur public pour accéder à des ressources critiques, ou, à défaut, d'utiliser un VPN et des connexions chiffrées.

2.d. Pourquoi la date de notification d'une fuite ne correspond-elle pas toujours à la date de compromission ?

Les utilisateurs s'interrogent souvent sur le décalage entre la date d'une fuite de données (ou d'un mot de passe volé) et la date de réception de l'alerte Stoïk. La raison principale est que les mots de passe ne sont pas rendus publics immédiatement.

En effet, les identifiants volés par des infostealers (logiciels malveillants capables d'extraire des mots de passe depuis des navigateurs, des gestionnaires ou des caches système) ne sont pas toujours partagés instantanément sur les forums ou places de marché que nous surveillons.

En pratique, les informations volées sont d'abord vendues dans des cercles privés ou des groupes restreints, et ne deviennent publiques qu'après plusieurs semaines voire plusieurs mois. C'est à ce moment que notre système les détecte et vous alerte.

2.e. Pourquoi certaines fuites de données indiquent-elles une source inconnue ?

Origine : Vous pouvez voir des fuites de données apparaître dans votre interface Stoïk Protect sans indication claire de leur origine. Dans ce cas, la source est indiquée comme « Combolist », ce qui signifie qu'elle est inconnue ou non vérifiable.

Une combolist est une compilation massive d'identifiants (adresses e‑mail, mots de passe, parfois d'autres données) rassemblés à partir de diverses fuites. Ces fichiers sont reconditionnés par des cybercriminels puis revendus ou partagés sur des forums sans toujours mentionner l'origine des données.

Raison de la détection : L'alerte est générée par Stoïk car, même si la source exacte est inconnue, le risque est réel. En effet, l'identifiant (e‑mail + mot de passe) fonctionne encore sur certains services, il peut donc être exploité pour une attaque par credential stuffing ou donner accès à un SaaS utilisé dans votre entreprise.

3. Que faire en cas d'alerte de fuite de données ?

• Changez le mot de passe immédiatement.

• Si vous ne reconnaissez pas le service, vérifiez l'utilisation interne de l'adresse e‑mail mentionnée.

• Activez l'authentification multifacteur (MFA) si ce n'est pas déjà fait.