Pourquoi il ne faut pas mettre sa date d’anniversaire sur internet
Une date d'anniversaire peut sembler être une information publique. Les dates d'anniversaire sont pourtant utilisées dans de nombreux services du web et peuvent être mises à parti par des pirates pour accéder à des informations sensibles comme votre compte en banque ou votre boîte mail. Ou deviner votre numéro de sécurité sociale et permettre de voler votre identité.
Avez-vous mis votre date d'anniversaire sur Internet ? Vous devriez sans doute l'enlever au plus vite ! Cette information qui peut sembler on-ne-peut-plus publique est en réalité une donnée très sensible, pour plusieurs raisons.
Certaines banques, services, et plateformes téléphoniques utilisent la date d'anniversaire comme mot de passe ou pour vous authentifier
Certaines banques et plateformes en ligne proposent des méthodes de login impliquant votre date d'anniversaire, ou pouvant inciter certains utilisateurs à utiliser cette date comme code. Par exemple lorsque le code est limité à une série de six ou huit chiffres. Parfois la date de naissance va être utilisée par certains services et applications en conjonction avec votre numéro de téléphone.
La date d'anniversaire fait aussi partie des informations susceptibles de vous êtres demandées pour vous authentifier lorsque vous prenez contact avec nombre de centres d'appels. Cela peut par exemple, en conjonction avec d'autres informations simples d'accès, permettre à quelqu'un d'obtenir une carte SIM liée à votre ligne, et ainsi recevoir les codes SMS envoyés dans le cadre de l'authentification double facteurs pour se loguer à des services que vous pensiez protégés.
Lire également : Google, Yahoo – des hackers piratent des milliers de comptes en contournant le système de double authentification
Il y a bien sûr une solution pour se protéger de ce genre de risques : l'utilisation de clés physiques pour sécuriser la connexion. Mais tous les services, banques, et plateformes en ligne ne sont pas encore compatibles avec ce mode d'authentification double facteurs.
Conseil : modifiez si possible ce code pour un code à 6 ou 8 chiffre banalisé. Contactez votre banque ou le service pour lui demander si il existe des modalités de connexion plus sécurisées.
La date d'anniversaire reste hélas une question de sécurité populaire
Les questions de sécurité demandées par de nombreuses plateformes posent un risque pour la sécurité. C'est d'ailleurs pour les pirates l'une des surfaces d'attaque les plus populaires pour prendre le contrôle d'un compte. Ces questions de sécurité sont en effet censées permettre de récupérer votre mot de passe lorsque d'autres méthodes ne sont pas disponibles. Or certains sites laissent le champ libre à l'internaute pour mettre la question de son choix, voire proposent la date d'anniversaire comme question.
Il suffit alors à un pirate d'aller éplucher votre profil Facebook pour deviner cette date. Même si la date complète n'est pas publique, il y a un problème : en regardant la date de l'année où le mur se remplit de “joyeux anniversaire” et en cherchant une mention de votre âge rattachée à un anniversaire, un pirate peut facilement deviner exactement quel est le mois, jour et année de votre naissance.
Conseil : nettoyez votre wall Facebook (ou tout autre service similaire) des messages d'anniversaire passés, enlevez votre date d'anniversaire de votre profil, ou le cas échéant, modifiez-la de quelques jours.
En France, le numéro de sécurité sociale, aussi appelé Numéro d'Inscription au Répertoire (ou NIR) est composé de 13 chiffres très faciles à deviner – encore plus si l'on connaît la date de naissance. Ainsi le premier chiffre désigne le sexe, les deux suivants l'année de naissance, les deux suivants le mois de naissance, les deux suivants la région de naissance, les trois suivants la ville de naissance et les trois suivants le rang de naissance (sans doute l'information la plus complexe à deviner) et une clé à deux chiffres dont la méthode de calcul est connue.
Avec votre date d'anniversaire, quelques informations glanées sur les réseaux sociaux et une pointe de social engineering, il est relativement simple de deviner le NIR d'une personne. Or le NIR lui-même sert d'identifiant pour de nombreux services de l'administration. Il peut permettre avec d'autres pièces d'usurper votre identité.
Lire aussi : Carte d’identité électronique – photo et empreintes digitales bientôt stockées sur une puce ?
Conseil : les usurpations d'identité existent même si elles sont relativement rares. En cas de doute sur un possible cas d'usurpation d'identité, mettez-vous au plus vite en rapport avec votre commissariat de police le plus proche.
Etiez-vous au courant des risques posés par votre date d'anniversaire sur internet ? Parlez-en dans les commentaires.
