Accueil > Sécurité > Fuites de données : top 10 des plus gros « Data Leaks » de 2018
data leak top 2018 fuite de données

Fuites de données : top 10 des plus gros « Data Leaks » de 2018

En 2018, partout dans le monde, un nombre record d’entreprises ont été victimes de fuites de données. Dans certains cas, l’envergure de ces fuites est telle qu’elle peut sembler surréaliste. Alors que l’année touche à sa fin, nous vous proposons le top 10 des plus gros « Data Leaks » de 2018.

Pour de plus en plus d’entreprises de toutes les industries, les données personnelles sont perçues comme de précieuses ressources. Ces entreprises « data-driven » s’appuient sur l’analyse de données pour prendre de meilleures décisions, aiguiller l’innovation et stimuler leur croissance.

De fait, la quantité de données collectées par ces entreprises est en forte hausse. D’autant que les sources de données à disposition se multiplient : réseaux sociaux, sites web, boutiques en ligne, objets connectés…

Malheureusement, cette abondance de données personnelles suscite aussi la convoitise des cybercriminels. C’est le revers de la médaille. Pour les hackers, les bases de données pleines à craquer des entreprises sont comparables à des coffres forts remplis d’or.

Les malfaiteurs qui parviennent à accéder à ces réserves de données, en exploitant une faille ou une vulnérabilité, peuvent ensuite s’enrichir en les vendant sur le Dark Web. Dans certains cas, les hackers peuvent aussi oeuvrer au service d’un gouvernement à des fins d’espionnage international.

Sans surprise, en 2018, le nombre de fuites de données a continué à augmenter. Selon Gemalto, au premier semestre 2018, on comptait déjà 945 fuites de données. Notons que le nombre de données compromises au cours des deux premiers trimestres de 2018 avait déjà dépassé le nombre total de données en fuite en 2017…

Même les plus grandes entreprises ne sont pas à l’abri d’une faille de sécurité. Ainsi, Google a dû fermer son réseau social Google+ à cause d’un bug exposant les données des usagers, et une erreur d’Amazon a provoqué une fuite de données juste avant le Black Friday.

Cependant, plus encore que la quantité de ces incidents de cybersécurité, c’est leur envergure parfois démesurée qui a marqué l’année qui touche à sa fin. Retour sur les 10 plus gros « data leaks » de 2018.

10 – Sacramento Bee : fuite de données de 19,5 millions de personnes

sacramento bee

Le Sacramento Bee est un quotidien local de la ville de Sacramento, en Californie. Aussi étonnant que cela puisse paraître, ce petit journal a été victime de la dixième plus grosse fuite de données de 2018.

Au mois de février, un hacker anonyme est parvenu à pirater deux bases de données appartenant au Sacramento Bee. Or, l’un de ces deux databases contenait les données personnelles des électeurs californiens, fournies par le Secretary of State de Californie. La seconde contenait les informations de contact des abonnés au journal.

En plus de s’emparer de ces données confidentielles, le malicieux hacker y a bloqué l’accès et a exigé une rançon. Cependant, le quotidien a refusé de payer et a préféré supprimer les deux bases de données pour éviter de futures attaques similaires.

Selon le Sacramento Bee, cette cyberattaque a exposé les informations de contact de 53 000 abonnés et les données personnelles de 19,4 millions d’électeurs californiens. C’est ce qui s’appelle avoir mauvaise presse…

9 – Ticketfly : fuite de données de 27 millions de personnes

ticketfly fuite

Le 31 mai 2018, la billetterie en ligne Ticketfly a subi une violente attaque informatique. Le site a été vandalisé, mis hors ligne, et perturbé pendant plus d’une semaine.

Avant de passer à l’acte, le hacker à l’origine de l’attaque aurait averti Ticketfly d’une vulnérabilité et exigé une rançon pour la réparer. Toutefois, l’entreprise a refusé et le pirate a décidé de mettre ses menaces à exécution en prenant le contrôle du site web.

Il a alors remplacé la page d’accueil, et publié le contenu d’une large base de données regroupant les données personnelles des employés et des utilisateurs. Parmi ces informations figuraient les noms, adresses, adresses email, et numéros de téléphone de 27 millions de comptes Ticketfly.

8 – Panera Bread, fuite de données de 37 millions de personnes

panera bread

En août 2017, le chercheur en cybersécurité Dylan Houlihan a tenté d’avertir Panera Bread au sujet d’une vulnérabilité sur son site web. Malheureusement, l’entreprise n’a pas pris les mesures nécessaires pour remédier au problème.

En conséquence, les données des clients de la firme sont restées exposées pendant près d’un an. En avril 2018, la faille de sécurité a finalement été révélée par le journaliste spécialisé Brian Krebs (lui-même tenu au courant par Houlihan).

Face à cette publication, Panera Bread a finalement décidé de mettre son site hors ligne temporairement. Dans un premier temps, l’entreprise a assuré que seuls 10 000 clients avaient été touchés par cette fuite. En réalité, toutefois, le véritable nombre d’enregistrements compromis serait de 37 millions.

7 – Facebook : fuite de données de plus de 200 millions de personnes

facebook fuite

Sans être la plus importante en termes de nombre d’enregistrements compromis, la fuite de données d’utilisateurs Facebook révélée en mars 2018 est sans aucun doute la plus marquante de l’année.

Pour rappel, l’entreprise Cambridge Analytica s’est servie d’un test de personnalité d’apparence anodine, comme on dénombre des centaines sur le réseau social, pour s’emparer des données personnelles de 87 millions d’utilisateurs Facebook. En plus des données des personnes qui ont effectué le test, la firme a aussi eu accès aux données de tous leurs contacts.

Ces informations ont ensuite été utilisées pour envoyer des messages personnalisés afin de bouleverser les convictions politiques des électeurs américains et les inciter à voter pour Donald Trump en 2016.

Pour Facebook, cette révélation a marqué le début d’une longue descente aux enfers. Comme si cela ne suffisait pas, le 27 juin 2018, le chercheur en sécurité Inti De Ceukelaire a révélé qu’une autre application nommée Nametests.com avait exposé publiquement les informations de plus de 120 millions d’utilisateurs.

Au total, le nombre d’utilisateurs Facebook dont les données ont fuité en 2018 dépasse les 200 millions. Pour terminer l’année en beauté, en décembre 2018, une énième fuite de données a provoqué l’exposition de plus de 6 milliards de photos privées d’utilisateurs de Facebook.

6 – MyHeritage : fuite de données de 92 millions de personnes

Le 4 juin 2018, un chercheur en sécurité a contacté la plateforme généalogique en ligne MyHeritage pour l’avertir qu’il avait trouvé un fichier intitulé « myheritage » sur un serveur privé n’appartenant pas à l’entreprise.

Après inspection du fichier, la firme a découvert qu’il contenait les adresses email et mots de passe de tous les utilisateurs inscrits à MyHeritage avant le 26 octobre 2017. Par chance, les informations de paiement n’ont pas été exposées puisque MyHeritage s’appuie sur des fournisseurs de services tiers pour traiter les paiements de ses utilisateurs.

De plus, les données génétiques et les arbres généalogiques des utilisateurs sont également stockés sur des serveurs séparés. La firme promet qu’il n’y a donc aucune raison de craindre que ces précieuses informations aient été exposées ou compromises.

5 – Quora : fuite de données de 100 millions de personnes

quora fuite

Début décembre 2018, un hacker est parvenu à accéder aux données stockées sur les serveurs du célèbre site de questions / réponses Quora. Le malfaiteur s’est emparé des identifiants, noms, adresses mail, mots de passe chiffrés et autres données importées des réseaux sociaux des utilisateurs.

Au total, plus de 100 millions d’utilisateurs ont été affectés par cette fuite de données massive. Les utilisateurs ont été invités à changer de mot de passe en urgence.

4 – Under Armour : fuite de données de 150 millions de personnes

under armour fuite

Le 25 mars 2018, le fabricant de bracelets connectés Under Armour a appris qu’un hacker avait obtenu l’accès à la plateforme MyFitnessPal assurant le tracking d’activité de ses utilisateurs.

Cette intrusion a provoqué l’exposition des noms, adresses email, et mots de passe des utilisateurs. Heureusement, les informations de paiement n’ont pas été dévoilées puisqu’Under Armour les traite séparément. Au total, ce sont les données personnelles d’environ 150 millions d’utilisateurs de MyFitnessPal qui ont été compromises.

3 – Exactis : fuite de données de 340 millions de personnes

exactis

En juin 2018, le chercheur en sécurité Vinny Troia a découvert que l’entreprise de marketing et d’agrégation de données Exactis, basée en Floride, avait laissé exposée une base de données sur un serveur publiquement accessible.

Cette base de données contenait deux terabytes d’informations, dont les détails personnels de centaines de millions de citoyens américains et d’entreprises. A ce jour, Exactis n’a toujours pas confirmé le nombre exact de personnes affectées par cette fuite. Toutefois, Troia affirme avoir pu accéder aux données de 340 millions d’individus.

Parmi ces informations figuraient les adresses mail, adresses physiques et numéros de téléphone des victimes. Dans certains cas, des détails extrêmement confidentiels tels que les noms de leurs enfants ont été dévoilés.

2 – Marriott : fuite de données de 500 millions de personnes

marriott

Début décembre 2018, la chaîne d’hôtels Marriott a annoncé que les informations personnelles de près de 500 millions de clients ont été dérobées par des hackers. Parmi les données dérobées figuraient notamment les numéros de cartes de crédit et numéros de passeports des clients.

Il s’agit de l’une des 10 plus grandes fuites de données de tous les temps. Par ailleurs, il semblerait que cette cyberattaque ait été orchestrée par des hackers à la solde d’un gouvernement rival des Etats-Unis à des fins d’espionnage…

1 – Aadhaar : fuite de données de 1,1 milliard de personnes

aadhaar

Le record de l’année a été décroché dès le mois de janvier 2018. A cette époque, un journaliste du Tribune News Service a payé 500 roupies à un anonyme sur WhatsApp pour obtenir les identifiants d’accès à un service.

Ce service lui a permis d’entrer n’importe quel numéro Aadhaar, un identifiant unique à 12 chiffres assigné à chaque citoyen indien. De cette manière, il était en mesure de récupérer den nombreuses informations sur n’importe quel citoyen stockées sur le UIDAI (Unique Identification Authority of India).

Parmi les informations exposées figuraient les noms, adresses, photos, numéros de téléphone et adresses email des citoyens. Pour 300 roupies supplémentaires, le journaliste a obtenu l’accès à un logiciel permettant d’imprimer une carte d’identité correspondant à n’importe quel numéro Aadhaar

Au total, cette faille de sécurité massive a potentiellement compromis les données de 1,1 milliard de citoyens enregistrés en Inde. Autant dire que la cybersécurité du gouvernement indien laisse encore à désirer…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Send this to a friend