Il y a de nombreuses raisons pour lesquelles vous pourriez avoir pas mal de comptes oubliés ou inactifs. Peut-être êtes-vous bombardé régulièrement d'offres spéciales et de nouveaux services numériques. Parfois, la seule façon d'y accéder est de s'inscrire et de créer un nouveau compte. Mais nos centres d'intérêt évoluent et il arrive que nous oubliions nos identifiants et que nous passions à autre chose. Il est souvent plus difficile de supprimer un compte que de le laisser inactif, voilà l’erreur.
Selon Google, les comptes depuis longtemps inactifs sont plus susceptibles d'être compromis. Ils risquent davantage d'utiliser des identifiants anciens ou réutilisés, susceptibles d'avoir été victimes d'une fuite de données historique. Le géant technologique affirme que « les comptes abandonnés sont 10 fois moins susceptibles d'être dotés de la validation en deux étapes que les comptes actifs ».
Ces comptes peuvent attirer les pirates informatiques, qui privilégient de plus en plus le piratage de comptes, pour lequel ils utilisent diverses techniques :
• Maliciel de vol d'informations pour récupérer vos identifiants. Selon un rapport 3,2 milliards d'identifiants ont été volés l'an dernier, la plupart (75 %) par des voleurs d'information (report).
• Vols de données à grande échelle : des pirates récupèrent des bases de données entières de mots de passe et de noms d'utilisateur auprès d'entreprises tierces auxquelles vous pourriez être abonné.
• Bourrage d'identifiants : des pirates introduisent des identifiants piratés dans des logiciels automatisés pour déverrouiller des comptes où le même mot de passe compromis a été réutilisé.
• Techniques de force brute : des essais et des erreurs sont utilisés pour deviner vos mots de passe.
Si des attaquants accèdent à votre compte, ils peuvent :
• L’utiliser pour envoyer du spam et des arnaques à vos contacts (s'il s'agit d'une adresse e-mail ou d'un compte de réseau social inactif), ou pour des attaques de phishing convaincantes en votre nom. Celles-ci tentent d'obtenir des informations sensibles de vos contacts ou les inciter à installer des maliciels.
• Rechercher des informations personnelles ou de cartes enregistrées dans votre compte inactif. Ces informations peuvent être utilisées pour une usurpation d'identité ou pour l’envoie de mails de phishing en utilisant l'identité du fournisseur de services afin d'obtenir plus d'informations sur vous. Les cartes enregistrées peuvent avoir expiré, mais les autres pourraient être utilisées pour des transactions frauduleuses faites en votre nom.
• Vendre le compte sur le dark web s'il a une valeur, tel un compte de fidélité ou un compte d’Air Miles oublié.
• Vider le compte (si c’est un portefeuille de crypto monnaies ou un compte bancaire oublié). Au Royaume-Uni, on estime que 82 milliards de livres sterling de comptes bancaires, de sociétés de crédit immobilier, de retraite et autres pourraient être perdus.
Les comptes professionnels inactifs sont une cible attrayante. Ils peuvent offrir aux pirates un accès facile aux données et systèmes de l'entreprise, voler et revendre ces données ou les exiger contre rançon. La faille de sécurité du rançongiciel Colonial Pipeline, en 2021, vient d'un compte VPN inactif piraté. L'incident a généré d'importantes pénuries de carburant sur toute la côte est des États-Unis. En 2020, une attaque de rançongiciel contre la commune de Hackney (Londres) était due, en partie, à un mot de passe non sécurisé sur un compte inactif connecté aux serveurs du conseil municipal.
Alors, comment atténuer ces risques ? Certains fournisseurs de services comme Google, Microsoft et X ferment automatiquement les comptes inactifs après un certain temps, pour libérer des ressources informatiques, réduire les coûts et renforcer la sécurité des clients. Cependant, pour votre sécurité numérique, mieux vaut être proactif et :
• Vérifier et supprimer régulièrement tous les comptes inactifs. On les retrouve en utilisant des mots-clés comme « Bienvenue », « Vérifier le compte », « Essai gratuit », « Merci de votre inscription », « Valider votre compte », etc. dans la boîte de réception.
• Consulter le gestionnaire de mots de passe ou la liste de mots de passe enregistrés dans le navigateur et supprimer tous les comptes inactifs, ou mettre à jour le mot de passe s'il a été signalé comme non sécurisé ou victime d'une violation.
• Il est conseillé de consulter les politiques de suppression du fournisseur du compte pour s’assurer que les informations personnelles et financières seront supprimées en cas de fermeture du compte.
• Bien réfléchir avant de s’inscrire. Est-ce vraiment utile de créer un nouveau compte ?
Pour les comptes que l’on souhaite conserver, en plus de mettre à jour le mot de passe avec un identifiant fort et unique et de le stocker dans un gestionnaire de mots de passe, il faut :
• Activer l'authentification à deux facteurs (2FA) pour éviter que, même si un pirate parvient à récupérer votre mot de passe, il ne puisse pas compromettre votre compte.
• Ne jamais se connecter à des comptes sensibles sur un réseau Wi-Fi public (sans VPN), car des cybercriminels pourraient espionner votre activité et voler vos identifiants.
• Se méfier des messages d'hameçonnage qui vous incitent à divulguer vos identifiants ou à télécharger des maliciels (tels les voleurs d'informations). Ne jamais cliquer sur des liens dans des messages non sollicités et ne pas céder aux tentatives vous forçant d’agir, en prétendant que vous devez de l'argent ou que votre compte sera supprimé si vous ne le faites pas.
La plupart d'entre nous avons des dizaines de comptes inactifs, disséminés sur Internet. En consacrant quelques minutes par an à faire le ménage, on peut sécuriser davantage notre vie numérique.