# Qu'est-ce qu'une fuite de données ? Les fuites de données affectant vos employés sont affichées de deux manières distinctes, selon que leur potentiel d’exploitation est confirmé ou non. ## Fuites de données avec potentiel d’exploitation confirmé Il s’agit des fuites de données les plus critiques, ce qui signifie qu’un attaquant pourrait les utiliser directement s’il parvenait à les obtenir. Compte tenu de leur criticité, une vulnérabilité dédiée est créée pour chacune d’entre elles dans les résultats du Scan Externe Stoïk. ### Vulnérabilité « Identifiants utilisateur valides trouvés dans une fuite de données/MO365/Fortinet » Notre Scan Externe vous alerte si les identifiants trouvés par notre onglet Data Leak sont toujours actifs. Concrètement, les identifiants clients divulgués sur le Dark Web sont désormais automatiquement testés sur l’URL concernée afin d’en vérifier la validité, grâce à un développement interne de Stoïk utilisant l’IA générative. Si la validité est confirmée, une vulnérabilité « high » est créée lors de l’analyse du Scan Externe Stoïk, invitant les utilisateurs à mettre à jour leurs identifiants. Le nom d’utilisateur et l’URL sont alors affichés sur Stoïk Protect (le mot de passe peut être communiqué sur demande expresse à ).
Comme il s’agit d’une vulnérabilité « high », les analystes CERT de Stoïk vous préviendront proactivement par e-mail si une alerte de ce type apparaît. ### Comment Stoïk confirme-t-il le potentiel d’exploitation de la fuite ? Les fuites de données testées par Stoïk proviennent principalement de deux sources : **Fuites issues de bases de mots de passe (combolists)** Ces bases de données sont des ensembles d’identifiants (e-mails, mots de passe) récupérés à partir de plusieurs fuites passées et agrégés sans contexte clair. Exemple : / M0t2Pa$$ / supersite.com Ces combolists ne révèlent pas toujours le site exact où les identifiants ont fuité. Cela rend difficile le test des identifiants sur le service mentionné. Dans ce cas, Stoïk teste automatiquement les identifiants sur des services critiques et largement utilisés comme Microsoft 365 (O365) ou Fortinet VPN (si ce service est utilisé par l’assuré). {% hint style="info" %} Nous ne testons pas directement les identifiants sur le site mentionné, sauf s’il est connu avec certitude, comme dans le cas des voleurs d’identifiants (voir ci-dessous). {% endhint %} **Fuites issues de logiciels malveillants (stealers)** Les stealers sont des logiciels malveillants installés sur des machines compromises qui récupèrent les identifiants utilisés localement. Ces fuites sont beaucoup plus précises : elles incluent généralement les trois éléments suivants : e-mail / mot de passe / URL exacte de connexion. Exemple : / M0t2Pa$$ / Lorsque l’URL est clairement identifiée, les identifiants sont testés directement sur le site correspondant, en plus de Microsoft 365 (O365) et Fortinet VPN. Cette précision réduit fortement les faux positifs et cible efficacement les risques de compromission active. Résumé des vérifications effectuées par Stoïk : | Type de fuite | Données disponibles | Vérification par Stoïk | | ----------------------- | ------------------------------------- | ------------------------------- | | **Combolist** | E-mail + mot de passe (ou site web) | O365 + Fortinet uniquement | | **Journaux de stealer** | E-mail + mot de passe + URL divulguée | URL divulguée + O365 + Fortinet | Si l’URL concernée est Fortinet ou O365, la vulnérabilité affichée est nommée « (...) trouvé dans une fuite de données Fortinet/Microsoft Office 365 ». Sinon, la vulnérabilité affichée est nommée « (...) trouvé dans une fuite de données », et l’URL est précisée dans les détails de la vulnérabilité. Par défaut, si les résultats des vérifications effectuées par Stoïk sont vides, aucune vulnérabilité n’est créée, mais la fuite est tout de même affichée dans l’onglet « Data Leak ». ## Fuites de données avec potentiel d’exploitation à confirmer ### Comprendre les résultats `Scan Externe` > `Résultats` > `Fuites de données` répertorie toutes les fuites de données détectées parmi vos employés, que leur potentiel d’exploitation ait déjà été confirmé ou non. La date affichée correspond généralement à la date à laquelle notre outil a détecté la fuite de données, et non à la date réelle de la fuite. En cliquant sur une fuite de données spécifique, vous pouvez accéder à des résultats détaillés. Voici deux exemples pour interpréter les résultats : **« IP » et « Password »** Dans cet exemple, comprenez que pour l’adresse e-mail , le mot de passe en clair et l’adresse IP ont fuité lors de la fuite de données Adobe Data Breach 2024 pour le domaine my-company.com.
**« Password » et « mot de passe chiffré »** Dans cet exemple, comprenez que pour l’adresse e-mail , le mot de passe en clair (« password ») et le hash (« mot de passe chiffré ») ont fuité sur plusieurs sites d’origine inconnue, d’où le terme « combolists ».
### Pourquoi un ancien employé apparaît-il dans l’onglet Data Leak ? Si vous voyez une alerte concernant un compte associé à un employé qui ne fait plus partie de l’entreprise, plusieurs raisons logiques peuvent l’expliquer. **Origine :** Il ne s’agit pas d’un compte Active Directory ni d’une adresse e-mail d’entreprise directement active dans votre système informatique, mais plutôt d’un compte utilisateur tiers utilisant une adresse de votre domaine, par exemple enregistré sur un site externe, tel que . Ce type de compte peut appartenir à : * Un ancien employé qui a créé un compte SaaS avec son adresse professionnelle. * Un compte encore actif dans une application SaaS, dont l’adresse e-mail professionnelle reste valide. * Un compte externe créé sans vérification de l’adresse e-mail, ce qui est possible sur certaines plateformes. **Raison de la détection :** L’alerte est générée par Stoïk parce que l’adresse e-mail du compte est liée à votre nom de domaine ou que le mot de passe associé à ce compte est apparu dans une fuite de données publique. Par conséquent, même s’il s’agit d’un ancien employé ou d’un compte non géré par votre service informatique, ce compte peut : * Continuer à être facturé à votre entreprise (cas fréquent pour les abonnements SaaS). * Avoir accès à des données internes si aucune révocation n’a été effectuée. * Représenter un risque de compromission indirecte (réutilisation de mot de passe, attaque par rebond). **Recommandation :** Dans cette situation : * Identifiez si le compte est toujours actif dans l’application concernée. * Révoquez ou désactivez le compte si vous en avez le contrôle. * Contactez l’éditeur du SaaS pour demander la suppression si nécessaire. * Mettez à jour vos procédures de départ des employés afin d’y inclure la révocation systématique des comptes tiers. ### Pourquoi y a-t-il une alerte pour un poste qui ne nous appartient pas ? {% hint style="info" %} Même si le poste en question ne vous concerne pas directement, l’alerte est pertinente si une activité liée à votre domaine ou à votre organisation est détectée. Toute activité inhabituelle peut indiquer : une utilisation non autorisée, une compromission potentielle, une mauvaise gestion des accès tiers. {% endhint %} Vous pouvez recevoir une alerte de cybersécurité pour un poste qui n’apparaît pas dans votre inventaire informatique. Cela peut sembler surprenant, mais plusieurs explications sont possibles dans cette situation. **Le dispositif personnel d’un employé** * **Origine :** Un employé peut, volontairement ou par habitude, accéder aux ressources professionnelles depuis un appareil personnel (ordinateur personnel, tablette, etc.). * **Raison de la détection :** L’alerte est générée par Stoïk parce que ce poste n’est ni sécurisé ni supervisé par vos équipes informatiques et peut donc représenter un point d’entrée vulnérable pour des attaques (ransomware, vol de données). * **Recommandation :** Demandez à votre employé de limiter cet usage ou de sécuriser son appareil (chiffrement, antivirus, mot de passe robuste, etc.). Il est fortement recommandé de revoir votre politique d’utilisation des appareils personnels (BYOD) si ce n’est pas déjà fait. **Poste d’un prestataire ou d’un sous-traitant** * **Origine :** Il est possible qu’un prestataire (support informatique externe, consultant, freelance, etc.) accède à vos données ou à vos systèmes depuis son propre poste. * **Raison de la détection :** L’alerte est générée par Stoïk parce qu’elle concerne vos services ou votre domaine. Le poste est considéré comme à risque s’il est compromis ou mal protégé. * **Recommandation :** Vérifiez si ce prestataire est toujours actif dans l’entreprise. Si ce n’est pas le cas, révoquez ses accès. Sinon, assurez-vous que de bonnes pratiques de sécurité sont en place de son côté. **Poste partagé ou public (hôtel, borne, cybercafé, etc.)** * **Origine :** Dans certains cas rares, vos services peuvent être consultés depuis une borne publique ou partagée : borne d’hôtel, PC de salle de réunion, etc. * **Raison de la détection :** L’alerte est générée par Stoïk car ces machines sont fortement exposées aux malwares ou aux enregistreurs de frappe. En effet, les connexions y sont rarement chiffrées ou privées. * **Recommandation :** Rappelez à vos employés de ne jamais utiliser d’ordinateur public pour accéder à des ressources critiques ou, à tout le moins, d’utiliser un VPN et des connexions chiffrées. ### Pourquoi la date de notification d’une fuite ne correspond-elle pas toujours à la date de compromission ? Les utilisateurs s’interrogent souvent sur le décalage entre la date d’une fuite de données (ou d’un mot de passe volé) et la date de réception de l’alerte Stoïk. La principale raison est que les mots de passe ne sont pas rendus publics immédiatement. En effet, les identifiants volés par des infostealers (logiciels malveillants capables d’extraire des mots de passe des navigateurs, des gestionnaires ou des caches système) ne sont pas toujours partagés instantanément sur les forums ou places de marché que nous surveillons. En pratique, les informations volées sont d’abord revendues dans des cercles privés ou des groupes restreints, puis ne deviennent publiques qu’après plusieurs semaines, voire plusieurs mois. C’est à ce moment-là que notre système les détecte et vous alerte. ### Pourquoi certaines fuites de données affichent-elles une source inconnue ? **Origine :** Vous pouvez voir apparaître des fuites de données dans votre interface Stoïk Protect sans indication claire de leur origine. Dans ce cas, la source est indiquée comme « Combolist », ce qui signifie qu’elle est inconnue ou non vérifiable. Une combolist est une compilation massive d’identifiants (adresses e-mail, mots de passe, parfois d’autres données) rassemblés à partir de différentes fuites. Ces fichiers sont remaniés par des cybercriminels puis revendus ou partagés sur des forums sans toujours mentionner l’origine des données. **Raison de la détection :** L’alerte est générée par Stoïk car même si la source exacte est inconnue, le risque est réel. En effet, l’identifiant (e-mail + mot de passe) fonctionne encore sur certains services, ce qui peut permettre une attaque par bourrage d’identifiants ou donner accès à un SaaS utilisé dans votre entreprise. ## Que faire en cas d’alerte de fuite de données ? * Changez immédiatement le mot de passe. * Si vous ne reconnaissez pas le service, vérifiez l’utilisation interne de l’adresse e-mail mentionnée. * Activez l’authentification multifacteur (MFA) si ce n’est pas déjà fait. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.stoik.io/help/help-center-fr/outils-de-prevention/what-is-the-external-scan/what-are-data-leaks.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.