Passer au contenu principal

Qu'est-ce qu'une violation de données et comment s'en protéger ?

Qu'est-ce qu'une violation de données ?

On parle également de déversement ou de fuite de données.  

Selon Techopedia, une violation de données est "un incident qui implique la visualisation, l'accès ou la récupération non autorisés ou illégaux de données par un individu, une application ou un service".1 Ce type de violation de la sécurité vise spécifiquement à voler des informations sensibles et peut être réalisé physiquement en accédant à un ordinateur ou à un réseau, ou à distance en contournant la sécurité du réseau.

Les violations de données surviennent généralement après qu'un pirate ou un utilisateur non autorisé a accédé à une base de données ou à un référentiel de données sécurisé. Fréquemment menées via l'internet ou une connexion réseau, les violations de données tournent généralement autour de la recherche de données logiques ou numériques.

Selon Symantec, les données les plus souvent perdues lors de violations de données sont les informations personnelles identifiables (noms et prénoms, numéros de carte de crédit et de sécurité sociale), suivies de près par les informations financières personnelles.2

Après avoir acquis ces données, les pirates peuvent les utiliser pour commettre une usurpation d'identité et d'autres cybercrimes, notamment en appliquant leurs informations volées et en obtenant un accès administrateur à l'ensemble de votre réseau.

Outre la perte de données, une violation de données nuit à une entreprise et à ses clients de plusieurs manières. Les dommages vont du coût du renforcement de la cyber-sécurité, de la réparation et de la mise à jour de la vulnérabilité exploitable ainsi qu'aux dommages à long terme causés à la réputation de l'entreprise et à ses clients qui se sont fait voler leurs informations privées.

Comment se produit une violation de données ?

La société de cyber-sécurité et de défense multinationale Trend Micro affirme que les violations de données sont un processus en quatre étapes qui comprend les actions suivantes dans le cas d'une violation générale des données :  

  • Recherche. Le pirate informatique cherche les vulnérabilités de l'ordinateur ou du réseau.
  • Attaque. Le pirate informatique commence l'attaque, en prenant contact par le biais d'une attaque réseau ou d'une attaque sociale. 
    • Attaque réseau. Cette attaque implique une manipulation du réseau. Le pirate informatique utilise les faiblesses de l'infrastructure, des systèmes et des applications pour s'infiltrer dans l'ordinateur ou le réseau de la victime.
    • Attaque sociale. Cette attaque implique une manipulation sociale. Le pirate informatique trompe ou appâte les employés pour qu'ils lui donnent accès à l'ordinateur ou au réseau. Cette méthode consiste notamment à inciter un employé à révéler ses identifiants de connexion ou à le duper pour qu'il ouvre une pièce jointe malveillante.
  • Exfiltration. Une fois qu'ils ont pénétré dans un ordinateur, les pirates peuvent ensuite attaquer le réseau ou dérober les données de l'entreprise. Une fois le réseau endommagé ou les données extraites, l'attaque est considérée comme réussie.3

Pourquoi les violations de données se produisent-elles ?

Selon le fabricant de logiciels anti-malware Malwarebytes, "une violation de données n'est pas une menace ou une attaque en soi, mais résulte plutôt d'une cyber-attaque qui permet aux pirates d'accéder sans autorisation à un système ou à un réseau informatique et d'en voler les données".4 Les violations de données continueront à se produire à mesure que le processus de numérisation du contenu s'intensifie et que le cloud se développe.  

Les violations de données ciblées se produisent généralement pour les raisons suivantes :   

  • Exploitation des vulnérabilités du système
  • Mots de passe faibles
  • Injection de langage de requête structuré (SQL)
  • Logiciel espion
  • Hameçonnage
  • Téléchargements furtifs
  • Contrôles d'accès défectueux ou mal configurés

Exploitation des vulnérabilités du système

Les pirates informatiques utilisent les exploits des vulnérabilités systématiques des logiciels ou des systèmes pour obtenir un accès non autorisé à un ordinateur ou à un réseau et à ses données. Les exploits se trouvent généralement dans les systèmes d'exploitation, les navigateurs internet et une variété d'applications différentes.

Cachées dans le code d'un système, ces vulnérabilités sont recherchées par les pirates, ainsi que par les experts et les chercheurs en cyber-sécurité. Par exemple, les anciens systèmes d'exploitation peuvent malheureusement présenter des vulnérabilités intégrées que les pirates d'aujourd'hui peuvent facilement exploiter pour accéder aux données d'un ordinateur.

Alors que l'objectif des pirates est d'utiliser les failles à des fins malveillantes, les agents de cyber-sécurité veulent mieux comprendre ces exploits et savoir comment les corriger ou les modifier pour éviter les violations de données et renforcer la cyber-sécurité.

Pour se faciliter la tâche, certains groupes de cybercriminels regroupent différents exploits dans des kits automatisés. Ces kits permettent aux criminels ayant peu de connaissances techniques de tirer parti des exploits.

Mots de passe faibles

Comme son nom l'indique, un mot de passe faible est un mot de passe facile à déterminer par les humains et les ordinateurs. Ces mots de passe contiennent souvent le nom du conjoint, des enfants, des animaux domestiques ou l'adresse de l'utilisateur, car ils sont faciles à retenir pour l'utilisateur. Les mots de passe peuvent ne pas être sensibles à la casse ou ne pas utiliser de majuscules ou de symboles.

Les mots de passe faibles sont faciles à deviner pour les pirates ou à utiliser dans le cadre d'attaques par force brute ou de spidering pour découvrir le mot de passe d'un utilisateur. De plus, il est important de ne jamais avoir son mot de passe écrit sur son bureau et de faire attention à toute personne qui pourrait faire du "surf d'épaule" lorsque vous saisissez un mot de passe. 

Attaque par injection SQL

Les attaques par injection SQL exploitent les vulnérabilités du logiciel de gestion de base de données SQL d'un site Web non sécurisé. Pour exécuter une attaque par injection SQL, un pirate intègre un code malveillant dans un site ou une application vulnérable, puis passe à la base de données dorsale.

Par exemple, un pirate modifie le code du site Web d'un détaillant de telle sorte que lorsqu'il effectue une recherche sur les "écouteurs les plus vendus", au lieu de donner des résultats sur les meilleurs écouteurs, le site web du détaillant fournit au pirate une liste de clients et les informations relatives à leur carte de crédit.

Ce type de cyber-attaque, moins sophistiqué, peut être réalisé à l'aide de programmes automatisés similaires à ceux utilisés pour les exploits.

Logiciel espion

Les logiciels espions sont des logiciels malveillants qui infectent votre ordinateur ou votre réseau pour vous "espionner" et recueillir des informations sur vous, votre ordinateur et les sites web que vous visitez.

Les victimes sont souvent infectées par des logiciels espions après avoir téléchargé ou installé quelque chose qui semble anodin, mais qui est accompagné d'un logiciel espion. Vous pouvez également être infecté par un logiciel espion en cliquant sur un lien malveillant ou comme infection secondaire d'un virus.

Un logiciel espion peut également s'introduire dans votre ordinateur en tant qu'infection secondaire via un cheval de Troie comme Emotet. Comme le signale le blog de Malwarebytes Labs, Emotet, TrickBot et d'autres chevaux de Troie bancaires ont trouvé une nouvelle vie en tant qu'outils de diffusion de logiciels espions et d'autres types de logiciels malveillants. Une fois votre système infecté, le logiciel espion renvoie toutes vos données personnelles aux serveurs C&C gérés par les cybercriminels.

Une fois que votre ordinateur a été infecté par un logiciel espion et qu'il a collecté des informations sur vous, il transmet ces informations à un emplacement distant, comme des serveurs de commande et de contrôle (C&C) ou un référentiel similaire, auquel les cybercriminels peuvent accéder.

Hameçonnage

Les attaques par hameçonnage utilisent généralement l'ingénierie sociale pour manipuler les émotions de leurs victimes contre la logique et le raisonnement et les amener à partager des informations sensibles. Elles sont souvent réalisées à l'aide d'attaques basées sur l'usurpation d'adresses électroniques ou sur des sites web clonés qui fonctionnent de manière similaire.

Les attaquants qui utilisent des tactiques d'hameçonnage et d'envoi de spam inciteront les utilisateurs à faire ce qui suit:

  • Révéler leurs identifiants et leurs mots de passe
  • Télécharger des pièces jointes malveillantes
  • Visiter des sites Web malveillants

Par exemple, vous pouvez recevoir un courrier électronique qui semble provenir de la société émettrice de votre carte de crédit, vous demandant de vérifier des débits fictifs sur votre compte et vous invitant à vous connecter en utilisant un lien vers une fausse version du site de la carte de crédit. Les victimes sans méfiance tentent de se connecter au faux site en utilisant leurs vrais noms d'utilisateur et mots de passe. Une fois que les pirates disposent de ces informations, ils peuvent se connecter à votre compte de carte de crédit, y accéder et l'utiliser à des fins de vol d'identité et de cybercriminalité similaire.

Téléchargements furtifs  

Les téléchargements furtifs sont des cyber-attaques qui peuvent installer des logiciels espions, des logiciels publicitaires, des logiciels malveillants et d'autres logiciels similaires sur l'ordinateur d'un utilisateur sans son autorisation. Ils permettent aux pirates de tirer parti des exploits et des failles de sécurité des navigateurs, des applications et des systèmes d'exploitation.

Cette cyberattaque n'a pas nécessairement besoin de tromper les utilisateurs pour être activée. Contrairement aux attaques par hameçonnage et usurpation d'identité, où l'utilisateur doit cliquer sur un lien malveillant ou télécharger une pièce jointe malveillante, les téléchargements furtifs interviennent simplement sur un ordinateur ou un appareil sans l'autorisation de l'utilisateur.

Contrôles d'accès défectueux ou mal configurés  

Si l'administrateur d'un site Web n'est pas vigilant, il pourrait mettre en place des contrôles d'accès qui permettraient au public d'accéder à des parties du système censées être privées. Ce faux pas peut être quelque chose d'aussi négligent que le fait de ne pas définir comme privés certains dossiers de backend contenant des données sensibles.

En général, les utilisateurs n'ont pas conscience de l'existence de contrôles d'accès défectueux ou mal configurés. Toutefois, les pirates qui effectuent des recherches spécifiques sur Google peuvent localiser ces dossiers et y accéder. Une bonne comparaison à cette situation est celle d'un cambrioleur entrant dans une maison par une fenêtre non verrouillée, par opposition à un cambrioleur entrant dans une maison par une porte verrouillée.

Pirates informatiques bienveillants et violations de données  

Une violation de données, comme la plupart des cyber-vols, implique des pirates qui tentent d'obtenir un accès non autorisé à votre ordinateur ou à votre réseau et de voler vos informations privées. Toutefois, dans certains cas, ce vol est effectué avec des intentions bienveillantes.

Comme beaucoup de chercheurs en cyber-sécurité, les "chapeaux blancs" et autres pirates bienveillants tentent de s'introduire dans votre ordinateur ou votre réseau pour découvrir des exploits et des vulnérabilités, puis d'en informer les autres afin qu'ils puissent créer une solution pour y remédier.

Par exemple, après neuf mois de travail d'ingénierie inverse, une équipe de chercheurs de l'université KU Leuven, en Belgique, a publié en septembre 2018 un article révélant comment elle a déjoué le chiffrement du Model S de Tesla.5 Les travaux de l'équipe ont permis à Tesla de créer une nouvelle technologie de cyber-sécurité pour ses véhicules, qui a permis de remédier à l'exploit découvert par l'équipe de la KU Leuven qui permettait de cloner la clé de contact de la Model S.

Comment détecter une violation de données ?

Contrairement à de nombreuses formes courantes de cyber-attaques, les violations de données sont notoirement difficiles à détecter et il est très fréquent que les organisations découvrent la violation plusieurs jours ou semaines, parfois même plusieurs mois après qu'elle se soit produite. Cet écart important entre le moment où la violation de données se produit et celui où elle est découverte est incroyablement problématique, car les pirates ont une longueur d'avance pour utiliser ou vendre les données qu'ils ont volées. Lorsque la violation de données est finalement découverte et que la vulnérabilité qui l'a permise est corrigée, le mal est déjà fait. 

Dans son article pour SecurityIntelligence, Koen Van Impe fait remarquer que deux indices permettent de déceler une violation de données :

  • Précurseurs
  • Indicateurs6  

Précurseurs

Les précurseurs signalent une menace imminente sur la base d'informations publiques, telles que des blogs sur la sécurité, des avis de fournisseurs et des informations similaires provenant de sources d'analyse et de renseignement ou de détection de menaces. Les professionnels de la cyber-sécurité utilisent les précurseurs pour se préparer à une cyberattaque anticipée et pour adapter la sécurité et la cyber-résilience de leurs systèmes en fonction du niveau de menace. Les précurseurs sont généralement rares, surtout si on les compare aux indicateurs.

Indicateurs

Les indicateurs signalent qu'une violation de données a pu se produire ou qu'elle est en cours. Les alertes de sécurité, les comportements suspects et les rapports ou alertes soumis par des personnes à l'intérieur ou à l'extérieur d'une entreprise sont autant d'exemples d'indicateurs. Les indicateurs sont souvent très nombreux, ce qui contribue à l'inefficacité du processus de réponse aux incidents.

Quels sont les indicateurs à rechercher ?

Voici plusieurs indicateurs dont vous devez être conscient en cas d'une éventuelle violation de données ou d'une cyberattaque similaire:  

  • Activité anormalement élevée de votre système, disque ou réseau. Cette augmentation de l'activité est particulièrement inquiétante si elle se produit pendant ce qui serait normalement une période d'inactivité.
  • Activité sur des ports réseau ou des applications qui sont habituellement inactifs. Activité inhabituelle où les ports ou les applications écoutent des ports réseau qu'ils n'écouteraient pas habituellement.
  • Un logiciel non reconnu est installé ou des préférences système bizarres sont établies.
  • Des modifications de la configuration du système non reconnues et non traçables, notamment des modifications du pare-feu, des reconfigurations de services, des installations de nouveaux programmes de démarrage ou des tâches programmées.
  • Pics d'activité dans un aperçu des "dernières activités" d'un service cloud qui permet de repérer un comportement anormal. Cette activité comprend la connexion à des heures inhabituelles, à partir d'emplacements inhabituels ou de plusieurs emplacements sur une courte période, ainsi que toute autre activité anormale de l'utilisateur.
  • Blocages imprévus de comptes utilisateurs, réinitialisations de mots de passe ou déviations d'appartenance à un groupe.
  • Blocages fréquents du système ou des applications.
  • Alertes provenant des protections contre les logiciels malveillants ou les virus, y compris les notifications indiquant qu'elles ont été désactivées.
  • Fenêtres contextuelles fréquentes ou redirections inattendues lors de la navigation sur Internet, ou modifications de la configuration du navigateur, telles qu'une nouvelle page d'accueil ou des préférences en matière de moteur de recherche.
  • Des contacts signalent qu'ils ont reçu des courriers électroniques inhabituels ou des messages directs provenant de médias sociaux que vous ne leur avez pas envoyés.
  • Vous recevez un message d'un attaquant vous réclamant de l'argent, par exemple dans le cadre d'un ransomware.

Que pouvez-vous faire pour détecter et répondre à une violation de données ?

Outre les précurseurs et les indicateurs, voici plusieurs principes directeurs qui peuvent renforcer votre capacité à détecter et à réagir à une intrusion dans votre système :

1. Pas de changement, pas de drapeaux rouge

Évitez d'apporter des modifications à votre ordinateur ou à votre réseau. En apportant des modifications à un système dans lequel on soupçonne une intrusion, on risque d'endommager ou de détruire des preuves, voire d'aggraver la situation. Le compromis évident ici est le poids de l'incident et l'intention du pirate, ainsi que vos objectifs commerciaux et l'impact de la violation sur ceux-ci.

2. Rassemblez les preuves

Veillez à recueillir les preuves de ce que vous soupçonnez être une intrusion et assurez-vous que ces preuves sont stockées dans un endroit où le risque de perte de données est faible. Ce processus facilitera l'analyse des incidents et la prise de décision après l'incident, ainsi que la collecte de données d'analyse légale.

Les fichiers journaux, les informations sur le disque et la mémoire, les échantillons de logiciels malveillants, les listes de processus en cours, les listes d'activités des utilisateurs et les connexions réseau actives sont autant de données qui peuvent être collectées à titre de preuve.

Conformément à la règle "pas de changement, pas de drapeau rouge", n'apportez aucune modification au système pendant la collecte de ces informations. Et comme pour la première règle, tenez compte de votre situation, du poids de l'incident et d'autres facteurs pertinents lorsque vous pesez les avantages ou les inconvénients de vos actions.

Si vous pouvez y accéder, envisagez d'utiliser des outils d'analyse légale à distance et travaillez en étroite collaboration avec votre équipe chargée des opérations informatiques ou de la cyber-sécurité. Si vous ne disposez pas d'un système de journalisation centralisé, assurez-vous que les journaux sont copiés dans un emplacement en lecture seule sur un ordinateur ou un système différent de celui qui a été attaqué.

3. Notez tout

La prise de notes pendant la réponse à un incident peut fournir une véritable mine de données. Essayez d'enregistrer chaque action entreprise, y compris les actions de vérification, de corrélation et de pivotement. Assurez-vous que vous n'avez rien manqué maintenant qui pourrait être important plus tard. Vos notes peuvent aider à établir des échéances et à déterminer les domaines du système qui ont besoin d'être pris en charge.

4. Discutez avec vos homologues

Une fois que vous avez établi une compréhension générale de tout ce qui se passe dans votre système, consultez vos homologues et vérifiez vos conclusions. Ce processus comprend la consultation des sources de renseignements sur les menaces, ainsi que des centres de partage et d'analyse de l'information (ISAC) et des équipes nationales de réponse aux incidents de sécurité informatique (CSIRT). Cette étape vous aide à déterminer ce que d'autres ont déjà fait et les mesures à prendre pour contenir l'intrusion et réparer les dommages qu'elle a causés.

5. Créez un rapport interne

Outre le signalement des incidents observés, vous devez également signaler à vos parties prenantes tout incident critique en cours qui pourrait avoir un impact sur votre entreprise. Une analyse générale de l'attaque devrait inclure les faits suivants :

  • Si l'attaque était ciblée
  • Si l'attaque avait été observée auparavant
  • Si d'autres entreprises ou organisations ont subi des attaques similaires
  • Les dommages déjà causés et ceux attendus à l'avenir.
  • Quelle était l'intention de l'attaque ?

6. Faites connaître les rapports  

Les indicateurs peuvent inclure des rapports de personnes au sein de votre organisation. Ces rapports internes peuvent fournir des informations essentielles pour sensibiliser à des comportements ou des situations inhabituels. Simplifiez le processus d'établissement des rapports et sensibilisez vos employés à ces rapports. Envisagez de créer un bouton "signaler un incident" sur la page d'accueil interne de votre organisation.

Assurez-vous que vos employés connaissent votre équipe de cyber-sécurité ou votre équipe d'assistance informatique. Veillez à ce que vos employés puissent facilement contacter ces équipes s'ils ont des questions ou des suggestions. Créez des questions à poser par ces équipes pour les aider à collecter des informations.   

Favorisez la transparence et le sentiment d'appartenance aux rapports. Ce processus peut impliquer un suivi avec chaque personne qui a soumis un rapport et une mise à jour concernant l'incident spécifique au rapport de chaque personne.

En intégrant ce processus sur votre lieu de travail, non seulement vous contribuerez à cultiver une culture de la sécurité informatique et à renforcer potentiellement votre cyber-résilience et votre sécurité, mais les employés seront plus enclins à signaler tout ce qui leur semble inhabituel. Ce processus et cette culture combinés peuvent vous aider à stopper les intrusions dès le début.

Veillez à inclure dans votre rapport toutes les mesures d'atténuation qui ont été prises, si elles ont été efficaces, et les mesures supplémentaires que vous prévoyez de prendre à l'avenir. Bien qu'il vous incombe d'inclure les détails techniques appropriés, veillez à vous concentrer sur l'impact de cette attaque sur l'entreprise et ses employés.  

Que puis-je faire pour éviter une violation de données ?

Il n'existe pas de solution parfaite pour éviter une violation des données, si ce n'est de ne jamais aller sur Internet, de ne jamais démarrer votre ordinateur ou de ne jamais mettre votre réseau en ligne. De toute évidence, ce ne sont pas des solutions acceptables pour tout le monde. 

Heureusement, pour réduire le risque de violation des données, il existe plusieurs mesures que vous pouvez prendre pour renforcer votre cyber-sécurité et votre cyber-résilience.

  • Utilisez des mots de passe forts. Pensez à utiliser un générateur de mots de passe qui crée des combinaisons aléatoires de lettres majuscules et minuscules, de chiffres et de symboles. Envisagez d'utiliser un programme de suivi des mots de passe qui vous aide à gérer ces mots de passe pour vous.
  • Surveillez vos finances. Examinez régulièrement l'activité de vos comptes bancaires et autres comptes financiers similaires. Si possible, utilisez des alertes d'activité qui vous informent de toute activité inhabituelle. 
  • Surveillez votre rapport de crédit. Si quelqu'un essaie d'utiliser vos informations privées pour ouvrir une carte de crédit ou un compte bancaire en votre nom, le rapport de crédit le montrera. Divers sites tels que Credit Karma proposent des rapports de crédit gratuits.
  • Agissez immédiatement. Dès que vous constatez une activité inhabituelle, prenez immédiatement des mesures et contactez la société de carte de crédit, la banque ou l'institution financière concernée. Si vous avez été victime d'une violation de données, veillez à les en informer.
  • Sécurisez votre téléphone. Créez toujours un mot de passe numérique court ou un mot de passe par balayage sur votre téléphone. Si votre téléphone est équipé d'un lecteur d'empreintes digitales, vous devez également l'utiliser. L'utilisation de ces fonctions de sécurité constitue une ligne de défense contre l'accès non autorisé à votre téléphone et à toutes les informations personnelles qu'il contient en cas de perte ou de vol.    
  • Faites attention aux URL. Essayez d'utiliser uniquement des URL sécurisées. Les URL sécurisées commencent par "Erreur ! Référence de lien hypertexte non valide.”. Le "s" signifie "sécurisé" et la requête HTTP utilise le protocole SSL (Secure Sockets Layer), un protocole utilisé pour la communication sécurisée entre deux parties. 
  • Installez un logiciel antivirus à jour. Selon le logiciel que vous utilisez et la façon dont votre réseau est configuré, il peut également inclure un pare-feu. Il va sans dire que le fait de disposer d'un logiciel antivirus fiable avec des définitions à jour renforce généralement votre cyber-sécurité et votre cyber-résilience, et améliore généralement votre résistance aux cyber-attaques.
  • Sauvegardez régulièrement vos fichiers. Établissez un calendrier régulier pour sauvegarder vos fichiers et stocker ces sauvegardes dans un environnement sécurisé. Ce processus vous aidera à créer des objectifs de points de reprise (RPO) en cas de perte ou d'altération des données.
  • Formatez ou détruisez vos anciens disques durs. Si vous retirez de vieux systèmes et que vous prévoyez de cannibaliser les composants, veillez à formater les disques durs avant de les installer dans de nouveaux ordinateurs. Si vous vous débarrassez simplement de ces systèmes et que vous ne prévoyez pas de réutiliser les composants, assurez-vous d'abord d'avoir sauvegardé vos fichiers. Ensuite, éliminez vos disques durs de manière à ce que personne ne puisse les utiliser. La solution la plus simple est souvent de les détruire avec un marteau.
  • Ne publiez pas d'informations importantes en ligne. Cette étape est une étape pratique qui ne demande pas beaucoup d'explications. Ne publiez pas d'informations privées, sensibles ou hautement confidentielles en ligne, y compris sur vos comptes de réseaux sociaux. Il est également judicieux de définir vos comptes de réseaux sociaux comme étant "privés" afin de limiter les personnes qui peuvent en consulter le contenu.
  • Faites appel à des services de protection contre le vol d'identité et de surveillance du crédit. Envisagez d'utiliser des services de protection contre le vol d'identité et de surveillance du crédit, car ils aident à prévenir le vol d'identité et peuvent vous avertir en cas d'incident.  
  • Utilisez des services de paiement sécurisés. Paypal est un excellent exemple de service de paiement sécurisé, car il ne vous demande pas de communiquer les informations de votre carte de crédit pour effectuer un paiement. Au lieu de cela, il vous aide à effectuer des paiements sécurisés en utilisant vos comptes et sans vous demander de saisir des informations sensibles.

2018 : l'année de la violation des données

En raison de la grande quantité de données qu'elles contiennent, les entreprises et les grandes organisations sont des cibles particulièrement attrayantes pour les cybercriminels qui cherchent à voler des données.  

Dans le blogue de Malwarebytes Lab, 2018: The year of the data breach tsunami, l'auteur Logan Strain précise que les violations de données ont été plus nombreuses en 2017 qu'en 2018. Toutefois, les violations de données de 2018 ont été plus massives et ont touché des entreprises technologiques, des détaillants et des prestataires de services d'accueil parmi les plus importants, tels que Facebook, Under Armor, Quora et Panera Bread.

En raison des quantités massives de données qu'elles contiennent, les sociétés et les entreprises sont des cibles attrayantes pour les cybercriminels qui cherchent à voler de grandes quantités de données privées. Selon l'étude 2018 sur le coût d'une violation de données du Ponemon Institute, une violation de données passe inaperçue pendant 197 jours en moyenne. L'étude fait valoir que le coût total moyen d'une violation de données pour une entreprise est de 3,86 millions de dollars américains, soit une augmentation de 6,4 % par rapport à 2017. Le coût moyen mondial pour chaque enregistrement perdu ou volé a également augmenté de 4,8 % et s'élève en moyenne à environ 148 dollars par enregistrement.

La quantité de données perdues est encore aggravée par le fait que les violations de données sont généralement difficiles à détecter, qu'elles passent souvent inaperçues et qu'une fois détectées, il faut 69 jours supplémentaires pour réparer les dommages et récupérer les pertes.

Violations de données, expositions et cyberattaques sur Facebook

Facebook a connu plusieurs violations et expositions de données, ainsi que des cyberattaques qui ont été rendues publiques en 2018 et 2019. Les expositions de données de Facebook concernent des données stockées en ligne et publiquement sans mot de passe. Ces expositions n'impliquent pas nécessairement une intention malveillante, comme une violation de données ou une cyberattaque, et sont plutôt liées à une erreur humaine et représentent un problème de sécurité.

La première violation de données

Quand la violation s'est-elle produite ? Entre 2013 et 2015

Quand a-t-elle été découverte ? On ne sait pas

Quand a-t-elle été rendue publique ? La violation a été révélée le 17 mars 2018 par des rapports du New York Times et du Guardian.

Qu'est-ce qui a été volé ?  

  • Les données de profil des utilisateurs de Facebook
  • Les préférences et centres d'intérêt des utilisateurs de Facebook

Bien qu'il ait été initialement indiqué que 50 millions de profils Facebook avaient été consultés par Cambridge Analytica, de multiples rapports ont ensuite confirmé que le chiffre était en réalité plus proche de 87 millions de profils.

Comment la violation de données s'est-elle produite ? Une faille dans l'interface de programmation (API) de Facebook a permis à des développeurs tiers de collecter des données. Cambridge Analytica a exploité cette faille et a pu voler les données des utilisateurs de l'application Facebook, ainsi que de toutes les personnes du réseau d'amis de ces utilisateurs sur Facebook.

Technicité. Techniquement, cet événement n'est pas une violation de données, mais plutôt une utilisation abusive des données des utilisateurs.

La deuxième violation de données

Quand la violation s'est-elle produite ? La deuxième violation a eu lieu entre juillet 2017 et fin septembre 2018.

Quand a-t-elle été découverte ? La violation a été découverte le 25 septembre 2018.

Quand a-t-elle été rendue publique ? Cette violation a été divulguée publiquement le 28 septembre 2018.

Qu'est-ce qui a été volé ?

  • Des noms
  • Des numéros de téléphone
  • Des adresses électroniques
  • D'autres informations personnelles

Combien de données ont été volées ? Dans un premier temps, Facebook a indiqué que la violation avait exposé les informations d'environ 50 millions de profils, chiffre qui a ensuite été révisé à 30 millions d'utilisateurs, dont 14 millions ont subi un accès à leur nom d'utilisateur et à leur historique de recherche sur Facebook.

Comment la violation de données s'est-elle produite ? En exploitant une faille dans le code de la fonction "Afficher en tant que" de Facebook, les pirates ont volé des jetons d'accès à Facebook, puis les ont utilisés pour accéder aux comptes des utilisateurs et en prendre potentiellement le contrôle.

Qu'est-il arrivé aux données ? Cambridge Analytica a utilisé les données de ces profils pour aider à identifier les électeurs influents lors de l'élection présidentielle américaine de 2016.9

L'attaque de la Nasty List d'Instagram

Quand la violation s'est-elle produite ? On ne sait pas

Quand a-t-elle été découverte ? En mars et avril 2019

Quand a-t-elle été rendue publique ? Le 8 avril 2019.

Qu'est-ce qui a été volé ?

  • Des informations de connexion à Instagram.
    • Des noms d'utilisateur et mots de passe
    • Des adresses électroniques
    • Des numéros de téléphone

Comment cette attaque s'est-elle produite ? Signalé pour la première fois sur Reddit, les comptes Instagram corrompus envoyaient des messages aux comptes non corrompus qu'ils suivaient, les prévenant qu'ils figuraient sur une "Nasty List" ou quelque chose de similaire, et incluant un lien malveillant. S'agissant d'une attaque par hameçonnage, ce lien malveillant conduisait l'utilisateur vers une page Instagram clonée ou autrement falsifiée et l'invitait à se connecter.

Combien de données ont été volées ? La quantité d'informations volées aux utilisateurs d'Instagram à la suite de cette attaque est inconnue.10

Exposition des données des fichiers en texte clair des mots de passe Instagram  

Quand cette exposition de données a-t-elle eu lieu ? On ne sait pas

Quand a-t-elle été découverte ? En mars et avril 2019

Quand a-t-elle été rendue publique ? Le 18 avril 2019

Quelles ont été les données exposées ? Des millions de mots de passe Instagram

Comment a-t-elle eu lieu ? FÀ la suite des attaques de la Nasty List d'Instagram, Facebook a confirmé d'autres problèmes de sécurité des mots de passe, indiquant que les mots de passe de millions de comptes Instagram étaient stockés dans un fichier en texte clair. Bien que Facebook ait déclaré que "l'enquête a déterminé que ces mots de passe stockés n'ont pas fait l'objet d'un abus interne ou d'un accès inapproprié",11 les utilisateurs dont les informations figuraient dans le fichier en texte clair ont été encouragés à réinitialiser leur mot de passe.

Exposition des données des bases de données non sécurisées de Facebook  

Quand cette exposition de données a-t-elle eu lieu ? On ne sait pas

Quand a-t-elle été découverte ? On ne sait pas

Quand a-t-elle été rendue publique ? Le 4 septembre 2019

Quelles données ont été exposées ?

  • Les numéros de téléphone associés à 419 millions de comptes d'utilisateurs provenant de plusieurs bases de données réparties sur plusieurs zones géographiques, notamment :
    • 133 millions d'enregistrements d'utilisateurs de Facebook basés aux États-Unis
    • 18 millions d'enregistrements d'utilisateurs au Royaume-Uni
    • Plus de 50 millions d'enregistrements d'utilisateurs au Vietnam
  • En plus des identifiants et des numéros de téléphone des utilisateurs de Facebook, des informations sur le nom d'utilisateur, le sexe et le pays d'origine de chaque compte ont été incluses.

Comment a-t-elle eu lieu ? Des bases de données non sécurisées dans plusieurs pays contenaient des identifiants de comptes Facebook, des numéros de téléphone et des informations supplémentaires sur les utilisateurs.12

Ressources

  1. Data Breach, Techopedia, 5 septembre 2018.
  2. What is a data breach, Norton, 10 mars 2020.
  3. Data Breaches 101: How They Happen, What Gets Stolen, and Where It All Goes, Trend Micro, 10 août 2018.
  4. Data Breach, Malwarebytes.
  5. Andy Greenberg, Hackers Can Steal a Tesla Model S in Seconds by Cloning Its Key Fob, Wired, 10 septembre 2018.
  6. Koen Van Impe, Don’t Dwell On It: How to Detect a Breach on Your Network More Efficiently, SecurityIntelligence, 22 octobre 2018.
  7. Logan Strain, 2018: The year of the data breach tsunami, Malwarebytes Labs, 4 avril 2019.
  8. Ponemon Institute’s 2018 Cost of a Data Breach Study: Global Overview, Ponemon Institute, juillet 2018.
  9. Eitan Katz, The 20 Biggest Data Breaches of 2018, Dashlane blog, 2 janvier 2019.
  10. Davey Winder, Hackers Are Using Instagram 'Nasty List' To Steal Passwords -- Here's What You Need To Know, Forbes, 14 avril 2019.
  11. Keeping Passwords Secure, Facebook, 21 mars 2019.
  12. Davey Winder, Unsecured Facebook Databases Leak Data Of 419 Million Users, Forbes, 5 septembre 2019.