Trois grandes violations de données

Des violations de données se produisent en permanence pour toutes sortes de raisons. Celles qui font la une des journaux ont trois points communs :

1. Les données nous concernent, vous et moi, le public, les gens de tous les jours.
2. Les données concernent un grand nombre d'entre nous, des millions, voire des milliards.
3. Les entreprises qui gèrent les données sont des noms connus.

Dans cet article, nous allons nous pencher sur trois entreprises célèbres qui ont chacune perdu un grand nombre de données. D'autres incidents récents, comme la violation de données de Welltok, ont également mis en évidence l'ampleur croissante de ces attaques.

La valeur des données

Pour les pirates informatiques et les cybercriminels, les données personnelles, ou informations d'identification personnelle (IIP), sont une sorte de monnaie d'échange. (On entend par IPI des éléments tels que les dates de naissance, les numéros de carte de crédit, les adresses électroniques, tout ce qui peut être utilisé pour identifier une personne). Ces données sont précieuses. Les dossiers personnels peuvent être vendus à d'autres criminels pour un montant pouvant aller jusqu'à 250 dollars par personne. Les données IPI peuvent être utilisées pour obtenir des fonds frauduleux en usurpant l'identité d'une personne ou en lui faisant du chantage. Si les données contiennent des mots de passe faiblement cryptés, ceux-ci peuvent être décryptés et utilisés pour pirater d'autres comptes, car nous sommes nombreux à réutiliser le même mot de passe sur plusieurs sites.

Les violations de données ne sont pas un problème nouveau. Mais la réaction du public face aux grandes violations de données a changé. De nombreuses entreprises fondent l'ensemble de leur modèle économique sur la monétisation des données personnelles privées de leurs clients. Lorsque ces données sont rendues publiques, les clients fuient, les réputations s'effritent et les cours boursiers chutent. Tout cela se traduit par un préjudice économique pour l'entreprise qui gère les données.

Comment se produisent les violations de données

Les violations de données ont de nombreuses causes et il existe de nombreuses façons de les classer. La plus révélatrice consiste à les regrouper en deux catégories : celles qui peuvent être évitées et celles qui ne peuvent pas l'être. L'exploitation d'une vulnérabilité inconnue (zero-day) dans un logiciel est un exemple de violation de données qui ne peut être évitée.

Une violation de données évitable serait due à une mauvaise configuration du serveur ou de la base de données, à l'envoi ou à la publication accidentelle d'informations d'identification en texte clair ou, ce qui est le plus déplorable, à l'absence de mise à jour du logiciel. La violation de données de MOVEit est un exemple notable, où des systèmes obsolètes ont été exploités, ce qui a eu un impact considérable. Elle est déplorable parce qu'elle implique une absence d'action plutôt qu'une mauvaise action. C'est le cas classique où l'inaction mène au désastre.

Le prix d'une violation de données peut également être un facteur de motivation pour le ciblage et la sécurisation des données. Le coût d'une violation n'est pas seulement lié à la réputation : il peut être calculé en dollars réels en fonction de la valeur d'un enregistrement sur le dark web, de la durée d'indisponibilité qu'elle entraîne et du coût à long terme de la récupération et des pénalités de mise en conformité.

Pourquoi nous évitons d'appliquer des correctifs aux logiciels

Voici quelques réponses classiques (et nos interprétations) à des enquêtes sectorielles qui demandent aux entreprises pourquoi elles n'installent pas immédiatement les correctifs logiciels.

Pour illustrer ce propos, voici les détails de trois célèbres violations de données.

1. Equifax (2017)

• Les données personnelles de 148 millions de personnes ont été volées.
• Les pirates ont exploité une vulnérabilité connue qui n'a pas été corrigée depuis 2 à 5 mois.

Basée à Atlanta, GA, Equifax est une société de notation de crédit à la consommation S&P 500. Elle emploie 9 900 personnes et dessert 800 millions de clients et 88 millions d'entreprises.

Elle est importante, et c'est probablement la raison pour laquelle elle a été ciblée - un piratage permet d'obtenir beaucoup de données.

Equifax a été victime d'une vulnérabilité connue dans Apache Struts, un cadre open-source que les entreprises utilisent pour créer des applications web Java.

Les événements se sont déroulés comme suit :

• 7 mars 2017 : Vulnérabilité signalée et corrigée.
• Juillet 2017 : Piratage d'Equifax.
• 29 juillet 2017 : Violation de données détectée.
• 7 septembre 2017 : Divulgation de la violation de données.

L'inaction humaine n'est pas seule en cause. Ils disposaient d'un scanner de vulnérabilité, mais celui-ci n 'a pas signalé le problème.

Leçons

• Ne retardez pas l'application des correctifs.
• Les scanners ne peuvent pas détecter les vulnérabilités inconnues.

2. Marriott (2018)

• Les données personnelles de 327/383/500 millions de personnes ont été volées (les estimations varient).

Basée dans le Maryland, cette entreprise américaine du secteur de l'hôtellerie figure à la fois dans le S&P 500 et dans le NASDAQ-100.

Elle emploie environ 177 000 personnes et est surtout connue pour sa chaîne hôtelière, qui compte plus de 30 marques réparties sur plus de 7 000 sites dans 130 pays. (Si vous ne connaissez pas ce nom, vous devez en savoir plus).

Il s'est avéré que le système de réservation du groupe hôtelier Starwood (société précédemment acquise) a été consulté illégalement pendant quatre ans avant d'être détecté. Un outil de sécurité interne a signalé une requête de base de données suspecte. L'enquête a révélé que les données extraites avaient été cryptées avant d'être exfiltrées. Il a fallu deux mois au personnel de Marriott pour décrypter les informations. Le cache de données contenait des numéros de passeport et de carte de crédit, ainsi que d'autres informations confidentielles.

• 8 septembre 2018 : Violation de données détectée.
• 19 novembre 2018 : Enquête sur une violation de données.
• 30 novembre 2018 : Divulgation d'une violation de données.

Leçons

• Lorsque vous achetez une entreprise, vous achetez également ses données et en assumez la responsabilité.

3. Yahoo (2013-2014)

• Les données personnelles de 3 milliards de personnes ont été volées.

Yahoo a été piraté en 2013 et 2014, mais l'ampleur réelle des violations de données n'a été révélée qu'en 2017, lorsqu'il a été annoncé que les données de chaque titulaire de compte Yahoo avaient été volées. (Le retard dans la divulgation a beaucoup à voir avec l'accord de rachat de Yahoo par Verizon, qui est finalement allé de l'avant avec un rabais de 350 millions de dollars).

Les données volées comprenaient les noms des titulaires de comptes, leurs dates de naissance, leurs numéros de téléphone et des mots de passe faiblement cryptés. Ce dernier élément signifie que de nombreux autres comptes d'utilisateurs ont été piratés, car de nombreuses personnes réutilisent le même mot de passe sur plusieurs sites.

Leçons

• Plus vous êtes grand, plus vos données sont intéressantes.

Les données personnelles sont le nouveau pétrole, et elles coulent partout. Avec elles, les entreprises bâtissent des empires et les gouvernements glanent des renseignements. Les pirates informatiques s'emparent des restes, tirant davantage de revenus de l'extorsion, du chantage et du vol. Ces incidents ne se limitent pas aux violations les plus médiatisées, les fuites de données Les fuites de données dues à de petites erreurs de configuration peuvent également exposer des informations sensibles.

L'application automatique de correctifs permet de remédier à l'une des causes les plus évitables des violations de données : les logiciels obsolètes. La solution de correctifs en direct de KernelCare sécurise les noyaux Linux. Pour en savoir plus sur la façon dont une gestion plus rapide des correctifs permet d'assurer la conformité, lisez notre article basé sur le discours d'Igor Seletskiy, PDG de KernelCare, lors de la conférence RSA.