cybersécurité dark web données

Dark Web : même les géants de la cybersécurité ont des données en fuite

Même les géants de la cybersécurité ne sont pas à l’abri d’une fuite de données sur le Dark Web. C’est ce que révèle une étude très inquiétante menée par ImmuniWeb…

Black Friday : -75% sur le stockage à vie 500Go et 2To chez pCloud 🤑

Les données en fuite font l’objet d’un véritable trafic sur le Dark Web. Dès qu’un jeu de données est exposé ou dérobé par des hackers, il y a désormais de fortes chances pour qu’il soit mis en vente sur le marché noir.

Aucun secteur d’activité n’échappe à ce fléau… pas même les plus grandes entreprises de cybersécurité. C’est ce que révèle une étude conduite par ImmuniWeb.

Pour mener son enquête, la firme a prélevé des échantillons auprès des 400 plus larges entreprises de cybersécurité en provenance de 26 pays du monde. La plupart sont basées aux États-Unis et en Europe.

Par la suite, ImmuniWeb a utilisé sa technologie d’intelligence artificielle pour détecter les données disponibles sur le Dark Web en lien avec ces entreprises de sécurité. Elle a alors découvert que 97% des données prélevées auprès des 400 organisations sont disponible sur la toile sombre.

Black Friday : -75% sur le stockage à vie 500Go et 2To chez pCloud 🤑

Plus inquiétant encore : 25% de ces données ont été classifiées par le système comme présentant un niveau de risque ” élevé ou critique “. Cela signifie que des informations identifiables (PII) ont été exposées.

En approfondissant l’enquête, ImmuniWeb a aussi découvert que 29% des mots de passe appartenant à ces entreprises sont trop chétifs. Dans 40% de ces entreprises, les employés ont réutilisé des identifiants déjà utilisés sur différents services en ligne. Une pratique extrêmement dangereuse.

Enfin, ImmuniWeb a détecté une faille de sécurité sur les sites web de 91 des entreprises étudiées. Dans 26% des cas, ces failles n’ont pas encore été corrigées.

Le CEO d’ImmuniWeb, Ilia Kolochenko, tente toutefois de mitiger la gravité de cette découverte. Selon lui, dans certains cas ” il n’y a aucun moyen d’être sûr que l’incident est réel à moins d’avoir les données en sa possession et d’essayer de les exploiter. Or, il s’agit d’un crime condamnable “.

Ainsi, il est possible que les jeux de données proposés sur le Dark Web soient des faux. La seule façon de le vérifier serait de les acheter et de tenter de les utiliser pour usurper l’identité d’une victime, ce qui est totalement illégal.

Il serait par exemple nécessaire de se connecter à la boite email d’un employé à l’aide de son mot de passe en fuite, ou de tenter d’exécuter une injection SQL sur un site web de production.

Néanmoins, Kolochenko estime qu’une ” myriade d’indicateurs interdépendants peut valider de façon fiable près de 99% de l’authenticité d’un incident “. Par exemple, si les données sont liées à une fuite annoncée publiquement, il est très probable qu’elles soient authentiques. Il en va de même si le vendeur bénéficie d’une réputation fiable.

Dark Web : n’utilisez pas votre email professionnel pour vous inscrire à des sites pour adultes

En parallèle, le rapport d’ImmuniWeb met en lumière les risques de sécurité liés à la sous-traitance. Il est impossible d’être sûr qu’un tiers adopte des pratiques de sécurité solides, et ceci peut avoir des conséquences terribles si le sous-traitant est amené à gérer des données sensibles.

En effet, un grand nombre des données en fuite découvertes durant cette enquête ont été exposées à cause de tiers de confiance tels que des fournisseurs ou des sous-traitants. Les bases de données et les backups de leurs sites web ont pu être dérobés discrètement par des hackers.

Il est donc fortement préférable de ne pas sous-traiter dans le domaine de la cybersécurité, même si cela peut être impossible pour les PME. Dans ce cas de figure, il est essentiel d’évaluer le niveau de sécurité des tiers et de leur proposer des conseils en la matière.

Cependant, une grande proportion des identifiants volés proviennent de tiers sans aucun lien avec l’entreprise. Par exemple, dans certains cas, des employés ont pu utiliser leurs adresses email professionnelles pour s’inscrire sur des sites de rencontre ou même des sites pornographiques. Inutile de préciser qu’il s’agit d’une grossière erreur…