28.10.2025 - L’Office fédéral de la cybersécurité (OFCS) reçoit régulièrement des questions inquiètes de citoyennes et citoyens : « Comment les escrocs connaissent-ils mon nom, le nom de ma banque, voire mon adresse ? » Cette question est plus que légitime, car les appels et les e-mails des criminels paraissent souvent crédibles lorsqu’ils contiennent des informations personnelles appartenant à la sphère privée. La réponse à cette question est complexe et révèle l’approche méthodique et systématique des cybercriminels modernes.
Semaine 43 : Comment les escrocs ont-ils obtenu mes données ? - Un aperçu de l’utilisation abusive des données
Les criminels utilisent essentiellement deux stratégies pour obtenir des données personnelles. La présente rétrospective hebdomadaire met en lumière ces deux méthodes et montre que les données personnelles constituent la matière première de la fraude moderne. Les criminels agissent comme des analystes : ils collectent des données apparemment sans rapport entre elles provenant de sources diverses et les assemblent pour créer des profils détaillés. Ces profils leur permettent de mener des attaques très convaincantes et donc difficiles à détecter.
Les deux principales stratégies :
- Collecte passive : récupération massive d’informations issues de fuites de donnéesutilisées comme base pour de futures attaques.
- Collecter active : incitent des victimes à divulguer volontairement leurs données via des techniques de phishing ciblées. Il ne s’agit pas seulement de mots de passe, mais aussi d’autres éléments d’identification personnels.
Collecte passive : données issues de fuites et de pannes
Une « fuite de données » (également appelée « leak de données ») désigne un incident de sécurité au cours duquel des données sensibles ou confidentielles sont divulguées involontairement hors d’une organisation. Contrairement à une « violation de données » (« data breach »), qui est souvent le résultat d’une attaque ciblée de pirates informatiques, les fuites de données sont souvent dues à des faiblesses internes, à des erreurs humaines ou à des erreurs de configuration technique.
Lors de tels incidents, différents types de données peuvent être divulgués. Il s’agit généralement des noms, adresses e-mail, numéros de téléphone, adresses postales, dates de naissance et souvent aussi des mots de passe, qui sont heureusement le plus souvent cryptés. Dans les cas les plus graves, des informations financières telles que les numéros de carte de crédit ou l’historique des commandes d’une boutique en ligne peuvent également être concernées.
Une fois ces énormes bases de données divulguées, les données deviennent une marchandise. Les cybercriminels les collectent et les revendent. Pour d’autres groupes criminels, ces ensembles de données constituent une ressource précieuse. La conséquence immédiate pour une personne dont les données font partie d’une telle fuite est souvent une augmentation sensible des spams et des e-mails de phishing indésirables, car ses coordonnées circulent désormais sur des listes largement diffusées.
Une fuite de données est donc plutôt le début et non la fin d’une chaîne d’attaques. Un criminel qui achète une liste contenant les noms et adresses e-mail des clients d’un commerçant en ligne donné dispose désormais d’une liste qualifiée de cibles potentielles. Au lieu d’envoyer des e-mails au hasard, il peut désormais lancer une campagne de phishing ciblant spécifiquement les clients de ce commerçant. Un e-mail qui prétend provenir de cette entreprise semble immédiatement plus crédible et a de bien meilleures chances de succès.
Plus d’informations sur le thème de l’utilisation des données numériques : Semaine 29 : Sécuriser les accès numériques
Collecte active : lorsque les criminels recherchent délibérément des informations
Outre les données issues des fuites mentionnées ci-dessus, l’OFCS observe également depuis quelque temps des attaques dans lesquelles les fraudeurs se procurent activement des données. Alors que le phishing classique vise principalement à voler des mots de passe et des données d’accès à des comptes bancaires en ligne ou à des comptes de messagerie électronique, ces campagnes ont pour objectif de collecter un éventail plus large de données personnelles. L’objectif ici n’est pas de prendre immédiatement le contrôle d’un compte, mais de rassembler les pièces manquantes du puzzle afin de créer un profil de données aussi complet que possible de la victime.
Une arnaque particulièrement répandue actuellement consiste pour les fraudeurs à créer des sites web d’apparence authentique, ressemblant à ceux d’institutions dignes de confiance telles que des banques, des compagnies d’assurance, des caisses d’assurance maladie ou des prestataires de services de paiement.
Le prétexte est presque toujours le même : les utilisateurs sont invités à « vérifier » ou à « mettre à jour » leurs données. Ces demandes jouent délibérément sur le besoin des utilisateurs de sécuriser leurs comptes. Souvent, une pression temporelle est exercée en menaçant de bloquer le compte ou d’autres conséquences si les données ne sont pas confirmées immédiatement.
Ces pages frauduleuses demandent de manière ciblée des informations personnelles qui peuvent s’avérer précieuses pour de futures tentatives d’escroquerie. Dans un cas récent, il s’agissait par exemple d’un prétendu remboursement et, outre les informations personnelles, une signature numérique était également demandée. Les données demandées étaient les suivantes :
- Nom complet et adresse
- Numéro de téléphone
- IBAN
- Numéro de contrat / numéro de police
- Copies des documents d’identité (carte d’identité ou passeport)
- Signature numérique
Recommandations
- La meilleure défense consiste à se méfier systématiquement de toute communication non sollicitée qui demande des informations personnelles ou vous invite à agir de manière urgente, même si elle semble légitime.
- Utilisez un mot de passe unique et fort pour chaque compte en ligne. Les mots de passe forts comportent au moins 12 caractères et comprennent des majuscules, des minuscules, des caractères spéciaux et des chiffres. Activez l’authentification multifactorielle (MFA) (également appelée authentification à deux facteurs (2FA)) dans la mesure du possible. Elle offre un niveau de sécurité supplémentaire et constitue l’une des mesures les plus efficaces contre le piratage de comptes, même si votre mot de passe a été volé.
- Ne cliquez jamais sur les liens et n’appelez jamais les numéros de téléphone indiqués dans un message suspect. Accédez plutôt directement au site web officiel de l’entreprise dans votre navigateur ou utilisez l’application officielle pour vous connecter et rechercher des notifications. Recherchez le numéro de téléphone dans un annuaire en ligne (par exemple TelSearch) ou sur le site web de l’entreprise concernée.
- Soyez vigilant avec vos données. Par exemple, ne saisissez que les informations strictement nécessaires (souvent marquées d’un « * ») dans les formulaires en ligne.
- Avez-vous été victime d’une fraude ? Appelez immédiatement votre banque ou votre émetteur de carte de crédit et faites bloquer les cartes et les comptes concernés. En cas de préjudice financier, portez plainte auprès de votre service de police cantonal. Sur le site Suisse ePolice, vous pouvez rechercher les postes de police près de chez vous.
- Annoncez également les tentatives de phising en utilisant le formulaire de signalement de l’OFCS formulaire de signalement de l’OFCS ou sur la page web de l’OFCS « antiphishing.ch ».
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 28.10.2025
