Support technique
Documentation
Connexion
Nous contacter
Trois grandes violations de données
6 février 2020 - L'équipe de relations publiques de TuxCare
Les violations de données se produisent tout le temps pour toutes sortes de raisons. Celles qui font la une des journaux ont trois choses en commun :
- Les données concernent vous et moi, le public, les gens de tous les jours.
- Ces données concernent beaucoup d'entre nous, des millions, voire des milliards.
- Les entreprises qui gèrent les données sont des noms connus.
Dans cet article, nous allons nous intéresser à trois entreprises célèbres qui ont chacune perdu les données de nombreuses personnes.
La valeur des données
Pour les pirates et les cybercriminels, les données personnelles, ou informations personnellement identifiables (IPI), sont une sorte de monnaie. (Par IIP, on entend des choses comme les dates de naissance, les numéros de carte de crédit, les adresses électroniques, tout ce qui peut être utilisé pour identifier un individu). Ces données ont de la valeur. Les dossiers personnels peuvent être vendus à d'autres criminels pour un montant pouvant atteindre 250 dollars par personne. Les enregistrements PII peuvent être utilisés pour obtenir des fonds frauduleux en se faisant passer pour une personne ou en la faisant chanter. Si les données comprennent des mots de passe faiblement cryptés, ceux-ci peuvent être décryptés et utilisés pour pirater d'autres comptes, car nous sommes nombreux à réutiliser le même mot de passe sur plusieurs sites.
Les violations de données ne sont pas un problème nouveau. Mais la réaction du public face aux violations de données de grande ampleur a changé. De nombreuses entreprises fondent l'intégralité de leur modèle économique sur la monétisation des données personnelles privées de leurs clients. Lorsque ces données sont rendues publiques, les clients fuient, les réputations s'effritent et les cours des actions chutent. Tout cela se traduit par un préjudice économique pour l'entreprise qui gère les données.
Comment se produisent les violations de données
Les raisons des violations de données sont multiples et il existe de nombreuses façons de les classer. La plus révélatrice est de les regrouper en deux catégories : celles qui peuvent être évitées et celles qui ne peuvent pas l'être. Un exemple de violation de données non évitable serait l'exploitation d'une vulnérabilité inconnue (jour zéro) dans un logiciel.
Une violation de données évitable serait due à une mauvaise configuration d'un serveur ou d'une base de données, à l'envoi ou à la publication accidentels d'informations d'identification en texte clair ou, ce qui est le plus déplorable, à l'absence de mise à jour des logiciels. Cette dernière est déplorable parce qu'elle implique une absence d'action plutôt qu'une mauvaise action. C'est le cas classique où ne rien faire mène au désastre.
Pourquoi nous évitons les logiciels de mise à jour
Voici quelques réponses classiques (et nos interprétations) aux enquêtes sectorielles qui demandent aux entreprises pourquoi elles n'installent pas immédiatement les correctifs logiciels.
|
Réponse : |
Signification |
|
Cela prend trop de temps |
Il coûte trop cher |
|
Trop de CVE |
Impossible d'établir des priorités |
|
Services essentiels |
Je ne peux pas me permettre un redémarrage |
|
Je ne savais pas. |
Je ne regardais pas. |
Pour illustrer davantage, voici les détails de trois célèbres violations de données.
1. Equifax (2017)
- Les données personnelles de 148 millions de personnes ont été volées.
- Les pirates ont exploité une vulnérabilité connue et non corrigée depuis 2 à 5 mois.
Basée à Atlanta, GA, Equifax est une société de notation du crédit à la consommation classée par S&P 500. Elle emploie 9 900 personnes et sert 800 millions de clients et 88 millions d'entreprises.
Il est gros, et c'est probablement pour cela qu'il a été ciblé - un piratage donne beaucoup de données.
Equifax a été victime d'une vulnérabilité connue dans Apache Struts, un cadre open-source que les entreprises utilisent pour créer des applications web Java.
Les événements se sont déroulés comme suit :
- Le 7 mars 2017 : Vulnérabilité signalée et corrigée.
- Juillet 2017 : Equifax est piraté.
- 29 juillet 2017 : Violation de données détectée.
- Le 7 septembre 2017 : Divulgation d'une violation de données.
Ce n'était pas seulement dû à l'inaction humaine, cependant. Ils avaient un scanner de vulnérabilité mais il n'a pas signalé le problème.
Leçons
- Ne retardez pas l'application des correctifs.
- Les scanners ne peuvent pas détecter les vulnérabilités inconnues.
2. Marriott (2018)
- Les données personnelles de 327/383/500 millions de personnes ont été volées (les estimations varient).
Basée dans le Maryland, cette entreprise d'hôtellerie américaine est cotée à la fois au S&P 500 et au NASDAQ-100.
Elle emploie environ 177 000 personnes et est surtout connue pour sa chaîne hôtelière, qui compte plus de 30 marques réparties sur plus de 7 000 sites dans 130 pays. (Si vous ne connaissez pas ce nom, vous devez sortir davantage).
Il s'est avéré que le système de réservation de leur groupe hôtelier Starwood (une société acquise précédemment) a été consulté illégalement pendant quatre ans avant d'être détecté. Un outil de sécurité interne a signalé une requête suspecte dans la base de données. Après enquête, il s'est avéré que les données extraites avaient été cryptées avant d'être exfiltrées. Il a fallu deux mois au personnel du Marriott pour décrypter les informations. La cachette de données contenait des numéros de passeport et de carte de crédit, entre autres IPI.
- 8 septembre 2018 : Violation de données détectée.
- 19 novembre 2018 : La violation de données fait l'objet d'une enquête.
- 30 novembre 2018 : Divulgation d'une violation de données.
Leçons
- Lorsque vous achetez une entreprise, vous achetez également ses données et en assumez la responsabilité.
3. Yahoo (2013-2014)
- Les données personnelles de 3 milliards de personnes ont été volées.
Yahoo a été piraté en 2013 et 2014, mais la véritable ampleur des violations de données n'a été révélée qu'en 2017, lorsqu'il a été annoncé que les données de chaque titulaire de compte Yahoo avaient été volées. (La latence dans la divulgation avait beaucoup à voir avec l'accord alors en cours de Yahoo pour être acheté par Verizon, qui est finalement allé de l'avant avec un rabais de 350 millions de dollars).
Les données volées comprenaient les noms des titulaires de comptes, leurs dates de naissance, leurs numéros de téléphone et leurs mots de passe faiblement cryptés. Ce dernier point signifie que de nombreux autres comptes d'utilisateurs ont été piratés, car beaucoup de personnes réutilisent le même mot de passe sur plusieurs sites.
Leçons
- Plus vous êtes grand, plus vos données sont intéressantes.
Les données personnelles sont le nouveau pétrole, et elles se répandent partout. Avec elles, les entreprises construisent des empires et les gouvernements glanent des renseignements. Les pirates informatiques s'emparent des restes, tirant davantage de revenus de l'extorsion, du chantage et du vol.
L'application automatique de correctifs élimine l'une des causes les plus évitables de violation des données : les logiciels obsolètes. La solution de patching en direct de KernelCare sécurise les noyaux Linux. Pour en savoir plus sur la façon dont une gestion plus rapide des correctifs permet d'assurer la conformité, consultez notre article basé sur le discours d'Igor Seletskiy, PDG de KernelCare, à la conférence RSA.
