LEBIGDATA.FR I.A, Cloud & Cybersécurité
Les fuites de données représentent l'une des principales menaces de cybersécurité du XXIème siècle. Découvrez tout ce que vous devez savoir à ce sujet : définition, causes, conséquences, situation en France, liste des pires » Data Leaks » de tous les temps ou encore des conseils pour s'en protéger et réagir comme il se doit…
À l'ère du numérique, les fuites de données représentent l'une des principales menaces de cybersécurité. Leurs conséquences peuvent être désastreuses, tant pour les entreprises que pour les particuliers. Un tel incident peut mener une organisation à la faillite et détruire des vies.
Au fil des années, les fuites de données sont de plus en plus nombreuses et massives. La moindre vulnérabilité peut ouvrir la brèche, aussi bien sur internet que hors ligne via le Bluetooth ou les SMS. Aujourd'hui, il est devenu indispensable de comprendre comment se protéger de ces catastrophes, comment les éviter et comment réagir en dernier recours…
Qu'est-ce qu'une fuite de données ?
Le terme de fuite de données désigne l'exposition d'informations confidentielles, sensibles ou protégée à une personne non autorisée. Ces fichiers sont visionnés ou partagés sans permission.
Les fuites peuvent concerner n'importe quel type de données. Il peut s'agir d'informations personnelles, de coordonnées bancaires, de données médicales, ou même de secrets commerciaux ou tout autre type d'informations confidentielles.
N'importe qui peut être victime d'une fuite de données. Ce fléau concerne aussi bien les individus que les entreprises de toute envergure et même les gouvernements.
À l'heure où le numérique connaît un véritable essor, les fuites de données sont de plus en plus nombreuses et engendrent un coût toujours plus élevé. Les entreprises représentent une cible particulièrement attractive de par les nombreuses données à leur disposition.
Il est important de prendre des mesures préventives contre les fuites de données, non seulement pour se protéger, mais aussi afin de protéger les autres.
Quelles sont les causes d'une fuite de données ?
Plusieurs causes peuvent provoquer une fuite de données. En général, ces incidents sont provoqués par une faille technologique ou par le mauvais comportement d'un utilisateur.
Nous utilisons de plus en plus d'appareils connectés à internet, de nos téléphones mobiles à nos équipements IoT en passant par les » wearables « . Or, les nouvelles technologies qui émergent rapidement ne sont pas suffisamment protégées. Elles sont donc propices à la fuite de données.
Les équipements de la maison connectée ou Smart Home illustrent ce phénomène. Un grand nombre de ces produits présentent de graves failles de sécurité, à commencer par l'absence de chiffrement des données ou des systèmes de protection trop faibles.
Si rien n'est fait pour inverser la tendance, ce problème continuera à prendre de l'ampleur au cours des années à venir. Il est essentiel de tester la sécurité des nouveaux produits, outils et services numériques.
Malheureusement, même si la technologie était parfaitement sécurisée, de mauvais comportements d'utilisateur peuvent mettre les données en péril. Après tout, il suffit d'une seule personne pour compromettre tout un réseau.
Si un employé consulte des fichiers sur l'ordinateur d'un collègue sans autorisation, il s'agit déjà d'une forme de fuites de données. Même si aucun partage n'a eu lieu, les informations ont été exposées à une personne non autorisée.
De même, la perte ou le vol d'un appareil peut provoquer la fuite de données. Un ordinateur ou un disque dur externe laissé sans protection et contenant des informations sensibles peut facilement tomber entre de mauvaises mains.
Bien évidemment, la cause d'une fuite de données peut aussi être une cyberattaque. Ces informations représentent un précieux butin pour les hackers, et ils n'hésiteront pas à tout mettre en oeuvre pour s'en emparer en exploitant tous les vecteurs d'attaque possibles.
Cet acteur malveillant n'est pas toujours un tiers. Il est fréquent qu'un employé provoque volontairement la fuite de données pour son profit personnel ou par envie de nuire à l'entreprise. Il profite de son autorisation d'accéder aux données pour un usage néfaste.
Quelles sont les méthodes des hackers pour s'emparer des données ?
Les cybercriminels utilisent de multiples méthodes pour mettre la main sur les données des entreprises ou des individus. Il convient de les connaître, pour mieux s'en protéger.
L'une des principales techniques est celle du » phishing « , ou hameçonnage, reposant sur l'ingénierie sociale. Elle consiste à piéger une personne, à la duper pour la conduire à provoquer une fuite de données.
Le hacker se fait passer pour une personne ou une entreprise de confiance afin de créer l'illusion. Une fois la victime en confiance, le criminel lui demande de fournir l'accès aux données sensibles qu'il convoite ou de délivrer les données directement.
Une autre méthode fréquemment employée est celle de l'attaque par force brute. Nettement moins subtile que le phishing, elle consiste à utiliser des outils logiciels pour » deviner » un mot de passe permettant l'accès aux données.
Ce processus peut prendre du temps, mais devient de plus en plus rapide à mesure que la puissance des ordinateurs augmente. Les hackers peuvent même accélérer la cadence en déployant des malwares pour exploiter la puissance d'autres ordinateurs. Un mot de passe trop faible peut être découvert en quelques secondes seulement par les outils de dernière génération.
La troisième méthode consiste à utiliser un malware pour compromettre un ordinateur ou un serveur, un système d'exploitation, un logiciel ou même un réseau informatique. La moindre faille suffit pour qu'un hacker puisse injecter un malgiciel. Les spywares, tout particulièrement, permettent de dérober des données sans être détecté.
Quelles sont les données convoitées par les hackers ?
Qu'une fuite de données soit accidentelle ou intentionnelle, elle peut avoir de graves conséquences. Pour cause, une fois dans la nature, les informations sont à la merci des criminels.
Ces données peuvent ensuite être vendues ou divulguées pour causer du tort à leurs propriétaires. Les informations personnelles et les données d'entreprise sont particulièrement recherchées, car elles peuvent être vendues à prix d'or sur le Dark Web.
En général, les criminels mènent d'abord des recherches pour identifier une victime vulnérable et potentiellement lucrative. Il peut s'agir d'un individu ou d'une entreprise. Les vulnérabilités exploitables peuvent être un système non mis à jour, ou encore un employé susceptible d'être piégé par une campagne de phishing.
Après avoir repéré les points faibles de sa proie, le hacker met au point une campagne pour la piéger. L'objectif peut être de conduire les employés à télécharger un malware, ou même de compromettre directement un réseau trop mal protégé.
Une fois le réseau infiltré, le criminel est en mesure d'explorer les données en toute liberté. Il dispose généralement de beaucoup de temps, puisqu'il faut en moyenne plus de cinq mois pour détecter une faille.
De nombreuses vulnérabilités peuvent être exploitées par les criminels. Parmi les plus fréquentes, on peut citer les identifiants trop faibles. Un mot de passe trop simple à deviner représente une vraie aubaine pour les hackers, qui profitent d'une porte ouverte sur le réseau.
Malheureusement, de nombreuses personnes commettent l'erreur d'utiliser plusieurs fois le même mot de passe. Les attaques par force brute permettent d'accéder aux boîtes mail, aux sites web, aux comptes bancaires ou autres sources d'informations.
En guise d'alternative, les hackers peuvent aussi voler les identifiants par le biais du phishing. Il est ensuite possible de les utiliser pour accéder aux comptes reliés. Certaines attaques par malware permettent aussi de contourner les systèmes d'authentification censés protéger un ordinateur.
Même lorsqu'un ordinateur ou un réseau sont bien protégés, les hackers peuvent profiter des failles de logiciels tiers installés sur le système pour s'infiltrer. Il est donc important de n'utiliser que des solutions de confiance.
De même, dans les entreprises où les employés sont autorisés à utiliser leurs propres appareils mobiles, ceci peut représenter un risque supplémentaire. Les hackers peuvent facilement déployer des applications contaminées par des malwares sur ces appareils mal sécurisés, afin de s'emparer des données qui y sont stockées. Il peut s'agir des fichiers et emails liés à l'entreprise, ou des informations personnelles de l'utilisateur.
Les criminels utilisent aussi des » card skimmers « pour détourner des pompes à essence ou des distributeurs de billet. Ils sont alors en mesure de dérober les données de toutes les cartes insérées dans ces équipements.
Quelles sont les conséquences d'une fuite de données ?
Une fuite de données peut avoir de lourdes conséquences sur la réputation et les finances d'une entreprise. Lorsque l'incident fait l'objet d'une couverture médiatique, le grand public retiendra que l'organisation a de lourdes lacunes en cybersécurité.
Il deviendra difficile de lui faire confiance, même si elle renforce sa sécurité par la suite. Si des informations confidentielles sont dérobées, et notamment la propriété intellectuelle de l'entreprise, les revenus peuvent être directement impactés.
Pour une organisation gouvernementale, une fuite de données peut exposer les informations à des puissances étrangères. Des informations sur les opérations militaires, les infrastructures nationales ou les dossiers diplomatiques en fuite peuvent compromettre la sécurité du pays.
Pour un individu, le plus grave danger d'une fuite de données est l'usurpation d'identité. Un acteur malveillant peut exploiter le numéro de sécurité de sociale ou les coordonnées bancaires de la victime pour se faire passer pour elle.
Il est alors possible de vider son compte en banque ou de se livrer à toutes sortes de fraudes. Une fois les données en sa possession, le hacker peut notamment retirer de l'argent sur vos comptes, en ouvrir de nouveaux à votre nom, ou même profiter de vos points sur des programmes de fidélité.
S'il usurpe votre identité sur un réseau social, le malandrin pourra tenter d'extorquer de l'argent à vos contacts via l'ingénierie sociale. Il pourra par exemple demander à l'un de vos proches d'envoyer de l'argent en urgence, prétextant une situation de détresse.
Désormais, les hackers peuvent aussi s'emparer de comptes sur des applications comme Uber ou Airbnb, afin de voyager ou de séjourner à vos frais. Les conséquences des fuites de données s'étendent au fil de l'essor du numérique.
Les criminels peuvent aussi vendre les données volées sur le Dark Web. Le trafic d'informations représente un business florissant. Un numéro de sécurité sociale peut se vendre pour 1 dollar, un numéro de carte de crédit pour 110 dollars, et un passeport américain peut atteindre 2000 dollars.
Selon une étude menée par le Ponemon Institute, le coût total moyen d'une fuite de données est de 3,86 millions de dollars pour une entreprise. Ceci représente en moyenne 148 dollars par enregistrement volé.
Lois et règlementations sur les fuites de données
Les lois et règlementations varient d'un pays à l'autre. Dans l'Union européenne, les entreprises sont tenues à certaines obligations par le RGPD en vigueur depuis mai 2018. Par exemple, elles doivent impérativement notifier les utilisateurs concernés par un tel incident dans un délai de 72 heures. Elles doivent aussi prévenir l'autorité de protection des données de leur pays, comme la CNIL en France.
Les données doivent être rigoureusement protégées contre les traitements » illégaux ou non autorisés « . Ce règlement général pour la protection des données concerne non seulement les entreprises basées dans l'UE, mais aussi les entreprises basées à l'internationale offrant des biens ou des services en Europe.
Des règles similaires sont adoptées au Canada ou aux États-Unis. Le délai maximal autorisé pour signaler une fuite de données varie d'un Etat à l'autre. La Californie est l'Etat le plus avancé en matière de protection des données, notamment avec sa loi Consumer Privacy Act (CCPA). Toutefois, une loi fédérale comparable au RGPD pourrait être adoptée prochainement.
En mai 2019, la loi Data Breach Prevention and Compensation Act a été adoptée. Un Office of Cybersecurity a été créé à la Federal Trade Commission, pour superviser la sécurité des données. Cette loi a aussi établi des standards pour une cybersécurité plus efficace, et des pénalités pour les entreprises de crédit comme Equifax. Cette dernière a en effet subi l'une des plus grandes fuites de données de tous les temps.
Il existe aussi des standards industriels. Dans le secteur de la finance, le Payment Card Industry Data Security Standard (PCI DSS) dicte qui est autorisé à manipuler les informations personnelles telles que les numéros de comptes bancaires, de cartes de crédit, ou les informations de contact comme les noms, adresses et numéros de téléphone.
Dans l'industrie de la santé, la Health Insurance Portability and Accountability Act (HIPAA) détermine qui peut voir et utiliser les informations de santé comme le nom d'un patient, sa date de naissance, son numéro de sécurité sociale et ses traitements. En cas d'accès non autorisé, cette loi indique aussi les sanctions.
Quelle différence entre une » Data Breach » et un » Data Leak » ?
En anglais, on distingue deux types de fuites de données : la Data Breach, et le Data Leak. Dans les deux cas, il s'agit d'un accès non autorisé à des informations confidentielles. Toutefois, la différence est la façon dont cet accès a lieu.
Une Data Breach survient lorsqu'il y a une attaque délibérée contre un service web, une entreprise ou un individu. L'attaque est menée avec l'intention de dérober les données.
Ces offensives se multiplient au fil des dernières années, car elles se révèlent très rentables pour les cybercriminels. Dans certains cas, plusieurs milliards d'enregistrements peuvent être en fuite.
Un Data Leak est une fuite de données sans lien avec une attaque. Elle peut être causée par une vulnérabilité déjà existante, une mauvaise gestion des données, ou même un simple accident.
Pour illustrer cette différence de manière simple, on peut comparer la fuite de données avec le vol d'une voiture. Dans le cas d'une Data Breach, le voleur casse la fenêtre, fait les fils et s'enfuit au volant du véhicule. Dans le cas d'un Data Leak, le propriétaire de la voiture oublie les clés sur le contact ou laisse la porte ouverte et le voleur se contente d'en profiter. Quoi qu'il en soit, les conséquences d'une Data Breach et d'un Data Leak sont les mêmes : la fuite des données.
Les fuites de données en France
La France n'est pas épargnée par les fuites de données. En moyenne, le coût annuel de ces catastrophes est estimé à 3,54 millions d'euros à l'échelle du pays. La moyenne pour tous les pays du monde est de 3,4 millions d'euros.
Pour chaque donnée volée, le coût moyen est de 150 euros en France contre 130 euros au niveau mondial. On constate donc que les Data Leaks dans l'hexagone ont un coût légèrement supérieur à la moyenne.
En 2010, selon une étude menée par le Ponemon Institute, 70% des entreprises admettaient avoir perdu des données. Ceci concernait principalement les informations clients (51%), la propriété intellectuelle (41%), les renseignements sur les salariés (26%) et les plans de développement de l'entreprise.
Selon une étude plus récente menée par Kaspersky, 36% des petites entreprises françaises ont subi une fuite de données en 2019. Il semblerait donc que la tendance soit à l'amélioration, notamment grâce à la prise de conscience des risques et dangers liés à la Data.
Selon un baromètre dévoilé au Forum International de la Cybersécurité de Lille en janvier 2020, réalisé par la CNIL et PWC, 54% des fuites de données en France sont d'origine malveillante. Le piratage en ligne représente 69,8%, et le vol physique 15%.
Le premier secteur touché est celui des sciences et techniques, à raison de 297 notifications entre juin 2018 et juin 2019. Viennent ensuite le commerce (279 notifications), la finance (275), l'administration publique (229) et enfin l'hébergement et la restauration (202).
Au premier semestre 2019, une moyenne de 5,7 violations de données par jour a été répertoriée en France contre 4,5 au deuxième semestre 2018. Un total de 812 536 Français ont été impactés sur la période, et la CNIL a reçu 1035 notifications de violation de données.
La France fait partie de l'Union européenne, et les entreprises doivent donc se conformer au RGPD depuis 2018. Il s'agit d'un avantage pour les citoyens, car nos données sont mieux protégées qu'à de nombreux endroits du monde.
Toutefois, il s'agit aussi d'une contrainte additionnelle pour les entreprises. De nombreuses organisations ont déjà fait l'objet d'une mise en demeure par la CNIL à cause de mauvaises pratiques de gestion de données, y compris parmi les plus réputées du pays.
https://www.youtube.com/watch?v=uRp1hAzYGJw
En février 2021, les données médicales de 500 000 Français ont été diffusées sur internet par des hackers. Les noms, coordonnées, numéros de sécurité sociale ou autres informations sur le médecin traitant ou l'état de santé des victimes ont été diffusés.
Il s'agit du plus grand Data Leak jamais recensé dans le pays, et une enquête a été ouverte par l'Agence nationale de la sécurité des systèmes d'information (Anssi), le ministère des Solidarités et de la Santé, la CNIL et l'éditeur de logiciel Dedalus dont la solution de gestion de laboratoire serait impliquée dans cet incident.
Une enquête a aussi été ouverte par la section cybercriminalité du parquet de Paris. Elle a été confiée à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC).
Ces données proviendraient en fait d'une trentaine de laboratoires de biologie médicale, presque tous situés dans le nord-ouest de la France. Elles seraient liées à des prélèvements effectués entre 2015 et 2020, avec utilisation du logiciel de saisie de renseignements médico-administratifs de Dedalus.
Malheureusement, les cyberattaques sont de plus en plus fréquentes en France et notamment sur les établissements de santé. En 2020, 27 cyberattaques ont été menées contre des hôpitaux sur le territoire. Depuis le début de l'année 2021, une attaque par semaine est enregistrée selon le secrétaire d'État chargé du numérique, Cédric O.
En juin 2021, c'est l'organisme Pôle Emploi qui a subi une fuite de données des demandeurs d'emploi. Les noms, âges, numéros de téléphone et adresses mail de 1,2 million de personnes ont été mis en vente par un hacker. Toutefois, ce dernier s'est ensuite rétracté en estimant sur un forum que les temps sont déjà suffisamment durs pour les personnes au chômage…
Les pires fuites de données du XXIème siècle
Au fil des années, les fuites de données sont de plus en plus nombreuses et massives. Alors qu'une fuite compromettant quelques millions de données était jadis un événement majeur, il est désormais fréquent d'apprendre que des milliards d'enregistrements se retrouvent dans la nature. Voici quelques-unes des fuites les plus marquantes du XXIème siècle.
Adobe
En octobre 2013, Adobe annonce que des hackers ont dérobé près de 3 millions d'enregistrements de cartes de crédit chiffrés, et les identifiants de connexion d'un nombre d'utilisateurs non communiqué. Quelques semaines plus tard, la firme revoit ses estimations à la hausse et annonce que les mots de passe et identifiants d'au moins 38 millions d'utilisateurs actifs ont été compromis.
En réalité, plus de 150 millions de paires de mots de passé hashés et de noms d'utilisateurs ont été dérobés. Après plusieurs semaines de recherche, l'entreprise réalise que des noms de clients et des informations de cartes de crédit sont aussi impactés. En août 2015, Adobe a accepté de payer 1,1 million de dollars de frais légaux et une somme non communiquée aux utilisateurs affectés pour avoir enfreint le Customer Records Act.
Adult Friend Finder
Certaines fuites de données sont plus embarrassantes que d'autres. En octobre 2016, le réseau FriendFinder Network est frappé par une Data Breach. Ce réseau regroupe des sites web pornographiques comme Adult Friend Finder, Penthouse.com, Cams.com, iCams.com ou encore Stripshow.com.
Les informations compromises proviennent de six bases de données et s'étendent sur 20 ans, pour un total de 492 millions de comptes. On retrouve des noms, des adresses email ou encore des mots de passe protégés uniquement par l'algorithme SHA-1. Près de 99% de ces mots de passe ont pu être déchiffrés.
Dans le même genre, en 2015, les données des 32 millions d'utilisateurs du site web Ashley Madison ont été dérobées par les hackers. Ce site web étant spécialisé dans les rencontres extra-conjugales, de nombreuses personnes ont dû rendre des comptes à leur conjoint. Certaines vies ont été totalement brisées par ce funeste événement.
Canva
En mai 2019, l'outil de montage graphique australien Canva a été victime d'une cyberattaque. Celle-ci a entraîné la fuite d'adresses mail, de noms d'utilisateurs, de villes de résidence et de mots de passe hashés avec bcrypt. Les 137 millions d'utilisateurs du service ont été impactés.
Selon la firme, les hackers sont parvenus à visualiser les fichiers contenant de données de cartes de crédit et de paiement partielles sans toutefois les dérober. L'auteur de ce hack est surnommé Gnosticsplayers, et s'est fait un nom en mettant en vendant de nombreuses données volées sur le Dark Web. Les utilisateurs ont été notifiés et invités à changer de mots de passe, mais environ 4 millions ont été déchiffrés et partagés.
eBay
En mai 2014, eBay a annoncé avoir été frappé par une attaque exposant tous les comptes de ses 145 millions d'utilisateurs. Les noms, adresses, dates de naissance et mots de passe chiffrés des utilisateurs ont été dévoilés.
Les hackers ont utilisé les mots de passe de trois employés pour accéder au réseau, et ont profité d'un accès complet pendant 229 jours. Les utilisateurs ont été invités à changer leurs mots de passe. Heureusement, les coordonnées bancaires étaient stockées séparément et n'ont pas été compromises.
Equifax
La fuite de données d'Equifax, survenue en juillet 2017, reste l'une des plus marquantes et médiatisées à ce jour. L'entreprise de crédit, parmi les plus larges des États-Unis, a été compromise par une vulnérabilité dans son application.
En conséquence, les données d'environ 147,9 millions d'utilisateurs ont été révélées au grand jour. Des informations personnelles comme les numéros de sécurité sociale, les dates de naissance, les adresses postales ou les numéros de permis de conduire se sont retrouvées dans la nature. Pour 209 000 clients, les données de carte de crédit ont aussi été exposées.
Equifax a été accusé de ne pas avoir pris les mesures de sécurité adéquates. La vulnérabilité ayant permis aux hackers l'accès aux données n'était pas corrigée, et la segmentation inadéquate du système a simplifié les mouvements latéraux pour les criminels. En outre, la firme a mis trop de temps à signaler la fuite.
Après enquête, le Department of Justice des États-Unis a arrêté quatre personnes en connexion avec cette cyberattaque. Parmi eux, deux agents des services de sécurité fédérale russes.
Target
Le géant américain du retail, Target, a été victime d'une fuite de données massive en 2013. Les noms de 110 millions de clients ont été exposés, ainsi que leurs informations de cartes de crédit.
Cet incident a mené à de nombreuses poursuites en justice de la part des clients, mais aussi des gouvernements, et des entreprises de cartes de crédit. Target a dû payer plusieurs dizaines de millions de dollars de réparation. ce qui rappelle que les fuites de données peuvent coûter extrêmement cher.
Sony Pictures
En 2014, des hackers sont parvenus à désactiver le réseau interne de Sony Pictures Entertainment à l'aide d'un malware. Tous les serveurs et workstations ont cessé de fonctionner.
L'attaque a été revendiquée par un groupe de hackers dénommé » Guardians of Peace « . Ce groupe a ensuite publié des films qui n'étaient pas encore sortis, récupérés sur le réseau interne, et des échanges d'emails confidentiels entre les cadres de la firme.
Un peu plus tard, le gouvernement américain a affirmé que les Guardians of Peace étaient directement liés au gouvernement de Corée du Nord. Durant l'attaque, les hackers ont d'ailleurs menacé Sony au sujet du film » The Interview » et réclamé l'annulation de sa sortie au cinéma. Ce film met en scène l'assassinat de Kim Hong-un, leader de la Corée du Nord.
Dubsmash
En décembre 2018, le service de messagerie Dubsmash a été victime d'une fuite de données massive. Les adresses mail, noms d'utilisateurs, mot de passe hashés en PBKDF2 et autres informations personnelles ont été mises en vente sur le Dream Market du Dark Web.
Elles ont été vendues au sein d'un paquet regroupant aussi les données de MyFitnessPal, MyHeritage, ShareThis, Armor Games et CoffeeMeetsBagel. Les utilisateurs ont été invités à changer de mots de passe, mais Dubsmash n'a pas été capable de comprendre comment les criminels ont accédé aux données et combien d'utilisateurs ont été impactés.
Heartland Payment Systems
En 2008, l'entreprise Heartland Payment Systems traitait environ 100 millions de transactions de cartes de paiement par mois pour 175 000 petits et moyens commerces. Malheureusement, en janvier 2009, Visa et MasterCard ont signalé des transactions suspectes en provenance des comptes traités par Heartland.
Des hackers avaient exploité une vulnérabilité pour effectuer une attaque par injection SQL. Les données de cartes de crédit de 134 millions de clients ont été exposées. Suite à cet incident, la Payment Card Industry (PCI) a retiré à Heartland sa conformité au Data Security Standard (DSS) et lui a interdit de traiter les paiements jusqu'en mai 2009. La firme a aussi dû payer 145 millions de dollars de compensation pour les paiements frauduleux effectués par les hackers.
Notons toutefois que cette fuite fut l'un des rares cas où les autorités sont parvenues à arrêter le hacker : le Cubain Albert Gonzalez et ses deux complices russes. Le principal intéressé fut condamné en mars 2010 à 20 ans de prison fédérale.
En tant que principal réseau social dédié aux professionnels, Linkedin représente une cible très intéressante pour les hackers. Les tentatives de phishing y sont fréquentes, et les pirates redoublent d'inventivité pour piéger les usagers.
La plateforme a aussi été victime de fuites de données. En 2012, LinkedIn a annoncé que 6,5 millions de mots de passe hashés en SHA-1 avaient été volés et publiés sur un forum de hackers russes.
Il aura fallu attendre 2016 pour découvrir la véritable ampleur de cette fuite. C'est à cette date qu'un hacker a mis les données en vente pour le prix de 5 bitcoins, soit environ 2000 dollars à l'époque. Au total, les données de 165 millions d'utilisateurs ont été compromises.
Marriott International
En novembre 2018, la chaîne hôtelière Marriott International annonce que des hackers ont volé les données de près de 500 millions de ses clients. Ce sont d'abord les systèmes de la marque d'hôtels Starwood qui ont été attaqués, à partir de 2014.
Après l'acquisition de Starwood par Marriott en 2016, les cybercriminels avaient toujours accès au système et en ont profité. La faille n'a toutefois été découverte qu'en septembre 2018.
Différentes données telles que des informations de contact, des numéros de passeports, des informations sur les voyages effectués et autres informations personnelles ont été exposées. De plus, les numéros de carte de crédit de 100 millions de clients auraient été volés. On ignore toutefois si les hackers ont été en mesure de les déchiffrer.
Outre son ampleur massive, cette fuite se distingue par l'identité des hackers. Selon le New York Times, il s'agirait en fait d'une attaque orchestrée par des espions chinois en vue de collecter des données sur les citoyens américains…
MyFitnessPal
Les données de 150 millions d'utilisateurs de l'application sportive MyFitnessPal ont été mises en vente en même temps que celles de Dubsmash et 15 autres sites web. Au total, les comptes de 617 millions d'utilisateurs de ces sites ont été compromis et vendus sur le Dream Market.
Parmi les données compromises de MyFitnessPal, on compte les adresses email, les adresses IP, et les mots de passe hashés en SHA-1 et bcrypt, Les utilisateurs ont été invités à changer de mot de passe, mais on ignore toujours comment les hackers ont mis la main sur ces informations.
MySpace
Survenue en 2013, la fuite de données MySpace a marqué les esprits. Elle a démontré que même les sites web passés de mode peuvent être pris pour cible par les hackers.
Les données de 360 millions d'utilisateurs ont été publiées sur la base de données LeakedSource et mises en vente sur le marché The Real Deal du Dark Web pour un prix de 6 bitcoins soit environ 3000 dollars à l'époque.
Les données en fuite comprenaient des adresses email, des mots de passe et des noms d'utilisateurs de comptes créés avant le 11 juin 2013, sur l'ancienne version de MySpace. Les mots de passe étaient hashés en SHA-1.
NetEase
Le fournisseur de boites mail chinois NetEase, opérateur des sites web 163.com et 126.com, a annoncé une fuite de données massive en octobre 2015. Les adresses mail et mots de passe en clair de 235 millions de comptes ont été vendues sur le Dark Web par un dénommé DoubleFlag.
Ce même vendeur proposait aussi des informations dérobées auprès d'autres géants chinois comme QQ.com de Tencent, Sina Corporation, ou encore Sohu Inc. Ceci prouve que les fuites de données ne sont pas l'apanage de l'Occident…
Sina Weibo
Sina Weibo est l'équivalent chinois de Twitter, et regroupe plus de 500 millions d'utilisateurs. En mars 2020, la plateforme a annoncé que les noms, numéros de téléphone et emplacements géographiques de 172 millions d'utilisateurs étaient en vente sur le Dark Web.
Les mots de passe n'étaient pas en fuite, ce qui explique pourquoi cette montagne de données était proposée pour seulement 1799 yuans soit environ 250 dollars. Pour sa défense, Weibo a admis la fuite, mais affirme que ces données ont été obtenues en associant les contacts de son API de carnet d'adresses et non par le biais d'une cyberattaque.
En outre, la firme a expliqué que ses mots de passe ne sont pas stockés en clair. Les utilisateurs n'ont donc rien à craindre selon ses dires. Toutefois, les données de géolocalisation ne sont pas disponibles via l'API et on ignore donc comment les hackers les ont obtenues. Les autorités chinoises ont été notifiées de l'incident, et une enquête a été ouverte par l'Administration de Cybersécurité…
Yahoo
En septembre 2016, Yahoo a révélé avoir été victime d'une fuite de données en 2014. En réalité, il pourrait s'agir de la plus vaste fuite de données de l'Histoire.
Les hackers sont parvenus à s'emparer des données de plus de 500 millions d'utilisateurs. Parmi les informations en fuite : les noms réels, adresses email, dates de naissance et numéros de téléphone. Fort heureusement, les mots de passe étaient hashés. Selon la firme, les cybercriminels à l'origine de cette attaque oeuvraient pour un gouvernement.
Par la suite, en décembre 2016, Yahoo a révélé une autre fuite de données survenue en 2013 et provoquée par un autre hacker. À l'époque, l'entreprise annonçait l'exposition des noms, dates de naissance, adresses mail et mots de passe d'un milliard d'utilisateurs. En octobre 2017, cette estimation a été revue à la hausse pour atteindre un total de 3 milliards d'utilisateurs concernés.
Zynga
Le géant des jeux Facebook tels que Farmville a lui aussi été frappé par une fuite de données. En septembre 2019, un hacker pakistanais dénommé Gnosticsplayers annonça avoir piraté la base de données de Zynga pour les jeux Draw Something et Words with Friends.
Cette manoeuvre lui a permis d'accéder aux données de 218 millions de comptes de joueurs. Par la suite, Zynga a confirmé la fuite des adresses mail, numéros de téléphone, mots de passe hashés en SHA-1 et noms d'utilisateurs Facebook avaient été dérobés…
SolarWinds
En 2020, des hackers ont directement attaqué la chaîne logistique des entreprises en déployant un malware sur le logiciel Orion de SolarWinds. Ce logiciel est utilisé par plus de 18 000 entreprises et autres gouvernements, et la cyberattaque a compromis leurs réseaux, leurs systèmes et leurs données.
Cette terrible attaque fut découverte et révélée par FireEye. L'enquête des États-Unis est toujours en cours, mais les inspecteurs ont déterminé que des agents des renseignements russes en sont à l'origine.
Ceci semble confirmé par les cibles priorisées par les hackers. Les agences gouvernementales américaines étaient les proies principales, ce qui laisse présumer une attaque de cyberespionnage.
Comment savoir si vous êtes victime d'une fuite de données ?
Vous êtes peut-être déjà victime d'une fuite de données sans même le savoir. Si vous ne l'avez jamais fait, il est très important de vérifier si vos données ont déjà été compromises.
La marche à suivre est très simple, et ne vous prendra que quelques minutes. Il existe plusieurs outils permettant de vérifier si votre adresse e-mail ou votre mot de passe font partie d'une base de données regroupant des informations en fuite.
Il vous suffit d'utiliser l'un de ces outils disponibles en ligne. En guise d'exemple, on peut citer » Have I Been Pwned « ou encore » Firefox Monitoring « . Pour une meilleure protection, certains antivirus offrent aussi un système de détection de fuite de données en temps réel.
Comment éviter la fuite de données ?
Les dégâts causés par une fuite de données peuvent être difficiles à réparer. Il est donc préférable d'anticiper et de se protéger contre un tel incident.
Au sein d'une entreprise, la prévention passe par tous les niveaux de l'organisation. Les utilisateurs finaux, les équipes IT et tous les intermédiaires doivent adopter les bonnes pratiques pour éviter la » data breach « . Chaque personne qui interagit avec le système représente une vulnérabilité potentielle. Il suffit d'une faille pour laisser les données en fuite.
La même logique est valable pour les particuliers. En laissant votre enfant jouer sur votre tablette, vous exposez votre réseau WiFi à un risque de cybersécurité.
En entreprise ou à la maison, plusieurs pratiques peuvent être adoptées pour éviter une fuite de données. Tout d'abord, il est important de mettre à jour vos logiciels dès que possible. Si un logiciel n'est plus pris en charge par le fabricant d'un appareil, il est nécessaire d'acheter un nouvel appareil.
Pour les données les plus sensibles, vous pouvez utiliser les systèmes de chiffrement. Si vos collaborateurs sont autorisés à apporter leurs propres appareils, mettez en place des règles comme l'obligation d'utiliser un VPN professionnel et un antivirus.
Pour la connexion et l'authentification, vous pouvez mettre en place l'obligation d'utiliser des mots de passe robustes et des systèmes d'authentification multi-facteurs. Ceci permettra d'éviter que ces identifiants soient découverts et utilisés pour accéder aux données. Enfin, veillez à éduquer tous les employés aux bonnes pratiques de sécurité et formez-les à repérer les tentatives de phishing.
L'utilisation de mots de passe solides et complexes est essentielle pour réduire le risque que votre mot de passe soit deviné par les hackers. Un mot de passe doit également être unique pour chacun de vos comptes sur le web. Un Password Manager ou gestionnaire de mot de passe peut vous aider à utiliser de nombreux mots de passe sans devoir les mémoriser.
Veillez à surveiller régulièrement vos comptes en banques et autres comptes liés à vos finances. Si vous découvrez une activité suspecte, vous devez immédiatement vous mettre en alerte et de prévenir l'institution concernée. Certaines banques proposent des alertes d'activité par mail ou SMS, et il est recommandé d'opter pour ce service.
Vous devez impérativement sécuriser tous vos appareils, y compris votre téléphone mobile. Si vos appareils ne sont pas protégés par des mots de passe ou par sécurité biométrique, il suffit qu'un voleur s'en empare pour qu'il accède à toutes vos données.
Sur le web, il est important d'adopter un comportement prudent. Évitez toujours les adresses URL suspectes dans les mails ou partout ailleurs. De même, veillez à ne jamais partager de contenu sensible et d'informations personnelles sur vos réseaux sociaux.
https://www.youtube.com/watch?v=mYjRlxV5PX8&t=100s
- Partager l'article :
