ClickCease Trois grandes violations de données - TuxCare

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Trois grandes violations de données

6 février 2020 - L'équipe d'experts de TuxCare

Violation des données

Les violations de données se produisent tout le temps pour toutes sortes de raisons. Celles qui font la une des journaux ont trois choses en commun :

  1. Les données concernent vous et moi, le public, les gens de tous les jours.
  2. Ces données concernent beaucoup d'entre nous, des millions, voire des milliards.
  3. Les entreprises qui gèrent les données sont des noms connus.

Dans cet article, nous allons nous intéresser à trois entreprises célèbres qui ont chacune perdu les données de nombreuses personnes.

La valeur des données

Pour les pirates et les cybercriminels, les données personnelles, ou informations personnellement identifiables (IPI), sont une sorte de monnaie. (Par IIP, on entend des choses comme les dates de naissance, les numéros de carte de crédit, les adresses électroniques, tout ce qui peut être utilisé pour identifier un individu). Ces données ont de la valeur. Les dossiers personnels peuvent être vendus à d'autres criminels pour un montant pouvant atteindre 250 dollars par personne. Les enregistrements PII peuvent être utilisés pour obtenir des fonds frauduleux en se faisant passer pour une personne ou en la faisant chanter. Si les données comprennent des mots de passe faiblement cryptés, ceux-ci peuvent être décryptés et utilisés pour pirater d'autres comptes, car nous sommes nombreux à réutiliser le même mot de passe sur plusieurs sites.

Les violations de données ne sont pas un problème nouveau. Mais la réaction du public face aux violations de données de grande ampleur a changé. De nombreuses entreprises fondent l'intégralité de leur modèle économique sur la monétisation des données personnelles privées de leurs clients. Lorsque ces données sont rendues publiques, les clients fuient, les réputations s'effritent et les cours des actions chutent. Tout cela se traduit par un préjudice économique pour l'entreprise qui gère les données.

Comment se produisent les violations de données

Les raisons des violations de données sont multiples et il existe de nombreuses façons de les classer. La plus révélatrice est de les regrouper en deux catégories : celles qui peuvent être évitées et celles qui ne peuvent pas l'être. Un exemple de violation de données non évitable serait l'exploitation d'une vulnérabilité inconnue (jour zéro) dans un logiciel.

Une violation de données évitable serait due à une mauvaise configuration d'un serveur ou d'une base de données, à l'envoi ou à la publication accidentels d'informations d'identification en texte clair ou, ce qui est le plus déplorable, à l'absence de mise à jour des logiciels. Cette dernière est déplorable parce qu'elle implique une absence d'action plutôt qu'une mauvaise action. C'est le cas classique où ne rien faire mène au désastre.

Pourquoi nous évitons les logiciels de mise à jour

Voici quelques réponses classiques (et nos interprétations) aux enquêtes sectorielles qui demandent aux entreprises pourquoi elles n'installent pas immédiatement les correctifs logiciels.

Réponse :

Signification

Cela prend trop de temps

Il coûte trop cher

Trop de CVE

Impossible d'établir des priorités

Services essentiels

Je ne peux pas me permettre un redémarrage

Je ne savais pas.

Je ne regardais pas.

Pour illustrer davantage, voici les détails de trois célèbres violations de données.

1. Equifax (2017)

  • Les données personnelles de 148 millions de personnes ont été volées.
  • Les pirates ont exploité une vulnérabilité connue et non corrigée depuis 2 à 5 mois.

Basée à Atlanta, GA, Equifax est une société de notation du crédit à la consommation classée par S&P 500. Elle emploie 9 900 personnes et sert 800 millions de clients et 88 millions d'entreprises.

Il est gros, et c'est probablement pour cela qu'il a été ciblé - un piratage donne beaucoup de données.

Equifax a été victime d'une vulnérabilité connue dans Apache Struts, un cadre open-source que les entreprises utilisent pour créer des applications web Java.

Les événements se sont déroulés comme suit :

Ce n'était pas seulement dû à l'inaction humaine, cependant. Ils avaient un scanner de vulnérabilité mais il n'a pas signalé le problème.

Leçons

  • Ne retardez pas l'application des correctifs.
  • Les scanners ne peuvent pas détecter les vulnérabilités inconnues.

2. Marriott (2018)

  • Les données personnelles de 327/383/500 millions de personnes ont été volées (les estimations varient).

Basée dans le Maryland, cette entreprise d'hôtellerie américaine est cotée à la fois au S&P 500 et au NASDAQ-100.

Elle emploie environ 177 000 personnes et est surtout connue pour sa chaîne hôtelière, qui compte plus de 30 marques réparties sur plus de 7 000 sites dans 130 pays. (Si vous ne connaissez pas ce nom, vous devez sortir davantage).

Il s'est avéré que le système de réservation de leur groupe hôtelier Starwood (une société acquise précédemment) a été consulté illégalement pendant quatre ans avant d'être détecté. Un outil de sécurité interne a signalé une requête suspecte dans la base de données. Après enquête, il s'est avéré que les données extraites avaient été cryptées avant d'être exfiltrées. Il a fallu deux mois au personnel du Marriott pour décrypter les informations. La cachette de données contenait des numéros de passeport et de carte de crédit, entre autres IPI.

Leçons

  • Lorsque vous achetez une entreprise, vous achetez également ses données et en assumez la responsabilité.

3. Yahoo (2013-2014)

  • Les données personnelles de 3 milliards de personnes ont été volées.

Yahoo a été piraté en 2013 et 2014, mais la véritable ampleur des violations de données n'a été révélée qu'en 2017, lorsqu'il a été annoncé que les données de chaque titulaire de compte Yahoo avaient été volées. (La latence dans la divulgation avait beaucoup à voir avec l'accord alors en cours de Yahoo pour être acheté par Verizon, qui est finalement allé de l'avant avec un rabais de 350 millions de dollars).

Les données volées comprenaient les noms des titulaires de comptes, leurs dates de naissance, leurs numéros de téléphone et leurs mots de passe faiblement cryptés. Ce dernier point signifie que de nombreux autres comptes d'utilisateurs ont été piratés, car beaucoup de personnes réutilisent le même mot de passe sur plusieurs sites.

Leçons

  • Plus vous êtes grand, plus vos données sont intéressantes.

 

Les données personnelles sont le nouveau pétrole, et elles se répandent partout. Avec elles, les entreprises construisent des empires et les gouvernements glanent des renseignements. Les pirates informatiques s'emparent des restes, tirant davantage de revenus de l'extorsion, du chantage et du vol.

L'application automatique de correctifs élimine l'une des causes les plus évitables de violation des données : les logiciels obsolètes. La solution de patching en direct de KernelCare sécurise les noyaux Linux. Pour en savoir plus sur la façon dont une gestion plus rapide des correctifs permet d'assurer la conformité, consultez notre article basé sur le discours d'Igor Seletskiy, PDG de KernelCare, à la conférence RSA.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information
Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information
fermer le lien