Passer au contenu principal

Qu'est-ce qu'une violation de données et comment s'en protéger ?

 

What is a data breach?

A data breach is also known as a data spill or data leak.

According to Techopedia, a data breach is “an incident which involves the unauthorized or illegal viewing, access or retrieval of data by an individual, app, or service”.1 This type of security breach is specifically for stealing sensitive information and can be performed physically by accessing a computer or network, or remotely by bypassing network security.

Data breaches commonly occur after a hacker or similar unauthorized user accesses a secure database or data repository. Frequently conducted via the internet or a network connection, data breaches usually revolve around the pursuit of logical or digital data.

According to Symantec, the most common form of data lost to data breaches was personally identifiable information—such as full names, credit card numbers, and Social Security numbers—with personal financial information close behind.2

After they have acquired this data, hackers may use it to commit identity theft and other cybercrimes, including applying their stolen information and gaining administrator access to your entire network.

In addition to data loss, a data breach harms a business and its customers in other ways. The damage extends to the cost to boost cybersecurity, and repair and update the exploitable vulnerability, as well as the long-term damage to the enterprise’s reputation and its customers who had their private information stolen.

How does a data breach occur?

Multinational cybersecurity and defense company Trend Micro argues that data breaches are a four-step process that includes the following actions for a general data breach:

  • Research. The hacker probes the computer or network for vulnerabilities.
  • Attack. The hacker begins the attack, making contact using a network or social attack.
    • Network attack. This attack involves network manipulation. The hacker uses infrastructure, system and application weaknesses to infiltrate the victim’s computer or network.
    • Social attack. This attack involves social manipulation. The hacker tricks or baits employees into giving them access to the computer or network. This method includes tricking an employee into revealing login credentials or duping the employee into opening a malicious attachment.
  • Exfiltration. Once they have broken into a computer, hackers can then attack the network or pilfer the company’s data. After the network is damaged or the data is extracted, the attack is considered successful.3

Why do data breaches occur?

An anti-malware software manufacturer Malwarebytes argues that “a data breach isn’t a threat or attack in its own right and instead comes as a result of a cyberattack that allows hackers to gain unauthorized access to a computer system or network and steal its data”.4 As the process of digitizing content rises and the cloud continues to grow, data breaches will continue to occur.

Targeted data breaches typically occur for the following reasons:  

  • Exploiting system vulnerabilities
  • Weak passwords
  • Structured Query Language (SQL) injection
  • Spyware
  • Phishing
  • Drive-by downloads
  • Broken or misconfigured access controls

Exploiting system vulnerabilities

Hackers use exploits of systematic vulnerabilities in software or systems to gain unauthorized access to a computer or network and its data. Exploits are commonly found in operating systems, internet browsers, and a variety of different apps.

Hidden within a system’s code, these vulnerabilities are sought out by hackers, as well as cybersecurity experts and researchers. For example, older operating systems can, unfortunately, have built-in vulnerabilities that today’s hackers can easily exploit to access a computer’s data.

While the hackers want to use the exploits for their own malicious gain, the cyber security agents want to better understand the exploits and how they can be patched or otherwise modified to prevent data breaches and boost cybersecurity.

To make their dubious work easier, some cybercriminal groups will package different exploits into automated kits. These kits allow criminals with little technical knowledge to take advantage of exploits.

Weak passwords

As its name implies, a weak password is a password that is easy to determine by humans and computers. These passwords often contain the name of the user’s spouse, children, pets or address, since they’re easy for the user to remember. The passwords may not be case sensitive or just generally fail to use capital letters or symbols.

Weak passwords are easy for hackers to guess or use in brute force attacks or spidering to figure out a user’s password. Also, never have your password written down on your desk or be aware of anyone who makes be “shoulder surfing” when you’re entering a password. 

SQL injection attack

Structured query language (SQL) injection attacks exploit the vulnerabilities in an unsecured website’s SQL database management software. To execute a SQL injection attack, a hacker embeds malicious code into a vulnerable site or application, then pivots to the backend database.

For example, a hacker changes the code in a retailer’s website so that when they perform a search for “best-selling headphones,” instead of yielding results for great headphones, the retailer’s website provides the hacker with a list of customers and their credit card information.

A less sophisticated type of cyberattack, SQL attacks can be performed using automated programs similar to those used for exploits.

Spyware

Spyware is malware that infects your computer or network to “spy” on you and otherwise gather information about you, your computer, and what websites you visit.

Victims often are infected by spyware after downloading or installing something that seems benign, only to have spyware bundled together with it. You can also get spyware by clicking on a malicious link or as a secondary infection from a virus.

Alternatively, spyware can make its way onto your computer as a secondary infection via a Trojan like Emotet. As reported on the Malwarebytes Labs blog, Emotet, TrickBot, and other banking Trojans have found new life as delivery tools for spyware and other types of malware. Once your system is infected, the spyware sends all your personal data back to the C&C servers run by the cybercriminals.

After your computer has been infected with spyware and it collects information about you, it then forwards this information to a remote location, such as command and control (C&C) servers or a similar repository where cybercriminals can access it.

Phishing

Phishing attacks usually use social engineering to manipulate its victims’ emotions against logic and reasoning and get them to share sensitive information. They are often performed using email spoofing-based attacks or cloned website-based attacks that function similarly.

Attackers employing phishing and spam email tactics will trick users into doing the following:

  • Revealing their user and password credentials
  • Downloading malicious attachments
  • Visiting malicious websites

For example, you could get an email that looks like it’s from your credit card company, asking you to verify made-up charges to your account, and prompting you to log in using a link to a fake version of the credit card site. Unsuspecting victims attempt to log in to the fake site using their real usernames and passwords. Once hackers have that information, they can log in to and access your credit card account, and use it for identity theft and similar cybercrime.

Drive-by downloads

Drive-by downloads are cyber attacks that can install spyware, adware, malware, and similar software onto a user’s computer without the user’s authorization. They allow hackers to take advantage of exploits and security flaws in browsers, applications, and operating systems.

This cyber attack doesn’t necessarily need to trick the users into enabling it. Unlike phishing and spoofing attacks where the user needs to click a malicious link or download a malicious attachment, drive-by downloads just engage with a computer or device without the user’s permission. 

Broken or misconfigured access controls

If a website administrator isn’t careful, the administrator could establish access controls that would make parts of a system that are meant to be private able to be accessed by the public. This misstep could be something as careless as neglecting to set certain backend folders that contain sensitive data to private. General users tend to remain unaware of broken or misconfigured access controls. However, hackers that perform specific Google searches can locate these folders and access them. A good comparison to this situation is a burglar entering a house through an unlocked window as opposed to a burglar breaking into a house through a locked door. 

Benevolent hackers and data breaches

A data breach, similar to most types of cyber thefts, involves hackers attempting to gain unauthorized access to your computer or network and steal your private information. However, there are some instances where this theft is performed with benevolent intentions.

Like many cybersecurity researchers, “white hat” hackers and other benevolent hackers will attempt to break into your computer or network to discover exploits and vulnerabilities, and then make others aware so that they can create a solution that remedies the exploit.

For example, after nine months of reverse engineering work, an academic hacker team from KU Leuven University in Belgium published a paper in September 2018 that revealed how it defeated Tesla’s encryption for the Model S.5 The team’s work helped Tesla create new cybersecurity technology for its vehicles that remedied the exploit the KU Leuven team discovered and used it to clone the Model S’s key fob.

How can you detect a data breach?

Unlike many common types of cyber attacks, data breaches are notoriously hard to detect and it’s very common for organizations to discover the breach days or weeks, sometimes even months after it has occurred. This large gap between when the data breach occurs and discovery is incredibly problematic, as hackers will have a large head start on using or selling the data they’ve stolen. Once the data breach is finally discovered and the vulnerability that allowed it is fixed, the damage has already been done.

In his article for SecurityIntelligence, Koen Van Impe notes that there are two signs of a data breach:

  • Precursors
  • Indicators6

Precursors

Precursors signal an imminent threat based on public information, such as security blogs, vendor advisories, and similar information from threat analysis and intelligence sources or threat detection. Cybersecurity professionals use precursors to prepare for an anticipated cyber attack and to adjust their systems’ security and cyber resilience according to the threat level. Precursors tend to occur rarely, especially when compared to indicators.

Indicators

Indicators display that a data breach may have happened or one is currently happening. Security alerts, suspicious behavior, and reports or alerts submitted by people from inside or outside a business are all examples of indicators. Indicators frequently occur at a high volume — a factor that contributes to the incident response process’s inefficiencies.

What indicators should you look for?

Here are several indicators that you should be aware of in the event of a possible data breach or similar cyber attack:

  • Irregularly high activity for your system, disk, or network. This increased activity is particularly worrisome if it occurs during what would normally be an idle period.
  • Activity on network ports or applications that are usually inactive. An unusual activity where the ports or applications are listening to network ports that they wouldn’t usually be listening to.
  • Unrecognized software is installed or odd system preferences are established.
  • Unrecognized and untraceable system configuration changes, including firewall changes, services reconfigurations, new startup program installations, or scheduled tasks.
  • Spikes in activity in a cloud services “last activity” overview that tracks abnormal behavior. This activity includes logging in at unusual times, from unusual locations, or multiple locations in a short time period and other abnormal user activity.
  • Unanticipated user account lockouts, password resets, or group membership deviations.
  • Frequent system crashes or application crashes.
  • Alerts from malware or antivirus protections, including notifications that they have been disabled.
  • Frequent pop-ups or unexpected redirects while browsing the internet, or browser configuration changes, such as a new home page or search engine preferences.
  • Contacts report receiving unusual emails or direct messages from social media from you that you didn’t send them.
  • You receive a message from an attacker demanding money, such as from ransomware.

What can you do to detect and respond to a data breach?

In addition to the precursors and indicators, here are several guiding principles that can bolster your ability to detect and respond to an intrusion into your system:

1. No changes, no red flags

Avoid making any changes to your computer or network. Making changes in a system where there’s a suspected intrusion risk damaging or destroying evidence, or even worsening the situation. The obvious trade-off here is the weight of the incident and the hacker’s intent, as well as your business objectives and the breach’s impact on them. 

2. Gather evidence

Be sure to collect evidence of what you suspect to be an intrusion and ensure that the evidence is stored somewhere with little risk of data loss. This process will help with incident analysis and post-incident decision-making, as well as forensic data collection.

Log files, disk and memory information, malware samples, running process lists, user activity lists, and active network connections are all data that can be collected for evidence.

In adhering to the no changes, no red flags rule, don’t make any changes to the system while collecting this information. And as with the first rule, consider your situation, the weight of the incident, and other relevant factors when weighing the advantages or disadvantages of your actions.

If you can access them, consider using remote forensics tools and work closely with your IT operations or cybersecurity team. If central logging isn’t something that you have, then ensure that logs are copied to a read-only location on a different computer or system from the attacked one.

3. Record everything

Note-taking during incident response can provide a treasure trove of data. Try to record every action that’s taken, including the verification, correlation, and pivoting actions. Ensure that you haven’t missed anything now that might be important later. Your notes can help establish timelines and determine system areas that need support.

4. Confer with your peers

Once you have established a general understanding of everything that’s occurring with your system, confer with your peers and verify your findings. This process includes referencing threat intelligence sources, as well as industry information sharing and analysis centers (ISACs) and national computer security incident response teams (CSIRTs). This step helps you establish what others have already done and what steps need to be done to contain the intrusion, and how to reverse the damage it caused.

5. Create an internal report

In addition to reporting observed incidents, you should also report any critical ongoing incidents that may impact your business to your stakeholders. A high-level analysis of the attack should include the following facts:

  • Whether the attack was targeted
  • Whether the attack was observed before
  • Whether other companies or organizations have experienced similar attacks
  • What damage it has caused to date and the damage it’s expected to cause in the future
  • What was the intent of the attack?

6. Spread awareness about reports   

Indicators can include reports from people within your organization. These internal reports can supply essential information for raising awareness of unusual behavior or situations. Streamline the reporting process and spread awareness about the reports among your employees. Consider establishing a “report an incident” button on your organization’s internal homepage.

Make sure that your employees are aware of your cybersecurity team or IT support team. Be sure your employees can easily contact these teams if they have any questions or suggestions. Create help desk questions for these teams to ask to help them collect information.  

Foster transparency and a sense of ownership with the reports. This process can mean following up with each individual that submitted a report and providing an update regarding the incident specific to each individual’s report.

By incorporating this process into your workplace, not only will you help to cultivate an IT security culture and potentially boost your cyber resilience and security, but employees will be more likely to report anything they feel is unusual. This combined process and culture can help you shut down intrusions when they start.

Be sure to include in your report any mitigation actions that were taken, if they were effective, and what additional actions you can expect to take in the future. While it behooves you to include the appropriate technical details, be sure to focus on how this attack will impact the business and its employees. 

What can I do to prevent a data breach?

There’s no perfect solution for preventing a data breach outside of never going on the internet, never booting up your computer, or never getting your network online. Obviously, they aren’t acceptable solutions for anyone.

Fortunately, when reducing the risk of a data breach, there are several steps you can take to bolster your cybersecurity and cyber resilience.

  • Use strong passwords. Consider using a password generator that creates random combinations of uppercase and lowercase letters, numbers, and symbols. Consider using a password tracking program that helps manage these passwords for you.
  • Monitor your finances. Regularly review your bank and similar financial account activity. If possible, use activity alerts that inform you of any unusual activity. 
  • Monitor your credit report. If someone tries to use your private information to open a credit card or bank account using your name, the credit report will show it. A variety of sites such as Credit Karma offer credit reporting at no charge.
  • Act immediately. As soon as you see any unusual activity, take immediate action and contact the respective credit card company, bank, or similar financial institution. If you were the victim of a data breach, then be sure to inform them of this fact.
  • Make your phone secure. Always create either a short numerical password or a swipe password for your phone. If you have a fingerprint scanner on your phone, then you should use that, too. Using these security features provides a line of defense against unauthorized access to your phone and all the personal information stored on it in the event that it’s lost or stolen.    
  • Pay attention to URLs. Try to only use secure URLs. Secure URLs begin with “https://”. The “s” stands for secure and the HTTP request uses Secure Sockets Layer (SSL), a protocol used for secure communication between two parties. 
  • Install up-to-date antivirus software. Depending on what software you are using and how your network is set up, it may also include a firewall. It should go without saying that having reliable antivirus software with up-to-date definitions generally boosts your cybersecurity and cyber resilience, and generally improves your resistance to cyber attacks.
  • Regularly back up your files. Establish a regular schedule for backing up your files and storing these backups in a secure environment. This process will help you with creating recovery point objectives (RPOs) in the event of data loss or corruption.
  • Format or destroy your old hard drives. If you are retiring old systems and you’re planning on cannibalizing the components, then be sure to format the hard drives before installing them into new computers. If you’re simply getting rid of these systems and don’t plan on reusing the components, then first make sure that you have backed up your files. Secondly, dispose of your hard drives in such a way that it ensures no one will be able to make use of them. The simplest solution is often to take a hammer to them.
  • Don’t post important information online. This step is a practical one that shouldn’t require much explanation. Don’t post private, sensitive, or otherwise very important information online, including on your social media accounts. It’s also generally a good idea to set your social media accounts to “private” to limit who can view your social media account’s content.
  • Enlist identity theft protection and credit monitoring services. Consider using identity theft protection and credit monitoring services, as they help prevent identity theft and can notify you in the event it occurs. 
  • Use secure payment services. Paypal is a great example of a secure payment service, as it doesn’t require you to give your credit card information to make a payment. Instead, it helps you make secure payments using your accounts and without requiring you to input sensitive information.

2018: Year of the data breach

Because of the vast amount of data they contain, enterprises and large organizations are exceptionally attractive targets for cybercriminals who are looking to steal data.

In the Malwarebytes Lab blog post 2018: The year of the data breach tsunami, author Logan Strain notes that more data breaches occurred during 2017 than in 2018. However, the 2018 data breaches were more massive in scale and featured victims that included some of the biggest tech companies, retailers, and hospitality providers, such as Facebook, Under Armor, Quora, and Panera Bread.7

Due to the massive amounts of data they contain, corporations and businesses are attractive targets for cybercriminals looking to steal large amounts of private data. According to the Ponemon Institute’s 2018 Cost of a Data Breach study, a data breach goes undiscovered for an average of 197 days. The study argues that the average total cost to a company of a data breach is USD 3.86 million, a 6.4 percent increase over 2017. The global average cost for each lost or stolen record is also increased by 4.8 percent and averaging approximately USD 148 per record.8

The amount of data lost is further compounded by data breaches being notoriously difficult to detect, often going undetected and once detected, taking an additional 69 days to reverse the damage and recuperate from the losses.

Facebook data breaches, exposures, and cyber attack

Facebook experienced several data breaches and exposures, and cyber attacks that were made public during 2018 and 2019. Facebook’s data exposures involve data stored online and publicly without a password. These exposures don’t necessarily involve malicious intent, such as a data breach or cyber attack, and are instead tied to human error and represent a security problem.

The first data breach

When did the breach occur? Between 2013 and 2015

When was the breach discovered? Unknown

When was the breach made public? The breach was exposed on 17 March 2018 by reports from The New York Times and The Guardian.

What was stolen?

  • Facebook user profile data
  • Facebook user preferences and interests

Although it was initially reported that 50 million Facebook profiles were accessed by Cambridge Analytica, multiple reports later confirmed that the figure was actually closer to 87 million profiles.

How did the data breach occur? A loophole in Facebook’s application programming interface (API) allowed third-party developers to collect data. Cambridge Analytica exploited this loophole and was able to steal data from Facebook app users, as well as all the people in those users’ friends network on Facebook.

Technicality. Technically, this event isn’t a data breach and, instead, a misuse of user data.

The second data breach

When did the breach occur? The second breach took place between July 2017 and the end of September 2018.

When was the breach discovered? The breach was discovered on 25 September 2018.

When was the breach made public? This breach was publicly disclosed on 28 September 2018.

What was stolen?

  • Names
  • Phone numbers
  • Email addresses
  • Other personal information

How much data was stolen? Facebook initially reported that the breach exposed the information of approximately 50 million profiles, a figure that was later revised 30 million users with 14 million having their respective usernames and Facebook search history accessed.

How did the data breach occur? Using a flaw in the code for Facebook’s “view as” feature, hackers stole Facebook access tokens, then used the tokens to access users’ accounts, potentially gaining control of them.

What happened to the data? Cambridge Analytica used the data from these profiles to help identify swing voters in the 2016 US presidential election.9

The Instagram Nasty List attack

When did the attack occur? Unknown

When was the attack discovered? During March and April 2019

When was the attack made public? 8 April 2019

What was stolen?

  • Instagram login information:
    • Usernames and passwords
    • Email addresses
    • Phone numbers

How did this attack occur? First reported on Reddit, compromised Instagram accounts would message noncompromised accounts that they followed, prompting them that they were on a “Nasty List” or something similar, and including a malicious link. A phishing attack, this malicious link would take the user to a cloned or otherwise fake Instagram page and prompt them to log in.

How much data was stolen? The amount of stolen Instagram user information as a result of this attack is unknown.10

Instagram passwords plaintext file data exposure

When did this data exposure occur? Unknown

When was this data exposure discovered? During March and April 2019

When was this data exposure made public? 18 April 2019

What may have been exposed? Millions of Instagram passwords

How did this data exposure occur? Following the Instagram Nasty List attacks, Facebook confirmed more password security issues, noting that millions of Instagram accounts’ passwords were being stored in a plaintext file. Although Facebook said “our investigation has determined that these stored passwords were not internally abused or improperly accessed”,11 users whose information was on the plaintext file were encouraged to perform a password reset.

Facebook unsecure databases data exposure

When did this data exposure occur? Unknown

When was this data exposure discovered? Unknown

When was this data exposure made public? 4 September 2019

What may have been exposed?

  • Phone numbers linked to 419 million user accounts from multiple databases across several geographies, including:
    • 133 million records of US-based Facebook users
    • 18 million records of users in the UK
    • More than 50 million records on users in Vietnam
  • In addition to Facebook user IDs and phone numbers, information about each account’s username, gender, and country location were included.

How did this data exposure occur? Unsecure databases across several countries contained Facebook account IDs, phone numbers and additional user information.12

Resources

  1. Data Breach, Techopedia, 5 September 2018.
  2. What is a data breach, Norton, 10 March 2020.
  3. Data Breaches 101: How They Happen, What Gets Stolen, and Where It All Goes, Trend Micro, 10 August 2018.
  4. Data Breach, Malwarebytes.
  5. Andy Greenberg, Hackers Can Steal a Tesla Model S in Seconds by Cloning Its Key Fob, Wired, 10 September 2018.
  6. Koen Van Impe, Don’t Dwell On It: How to Detect a Breach on Your Network More Efficiently, SecurityIntelligence, 22 October 2018.
  7. Logan Strain, 2018: The year of the data breach tsunami, Malwarebytes Labs, 4 April 2019.
  8. Ponemon Institute’s 2018 Cost of a Data Breach Study: Global Overview, Ponemon Institute, July 2018.
  9. Eitan Katz, The 20 Biggest Data Breaches of 2018, Dashlane blog, 2 January 2019.
  10. Davey Winder, Hackers Are Using Instagram 'Nasty List' To Steal Passwords -- Here's What You Need To Know, Forbes, 14 April 2019.
  11. Keeping Passwords Secure, Facebook, 21 March 2019.
  12. Davey Winder, Unsecured Facebook Databases Leak Data Of 419 Million Users, Forbes, 5 September 2019.

Qu'est-ce qu'une violation de données ?

Une violation de données est également connue sous le nom de fuite de données ou de déversement de données.

Selon Techopedia, une violation de données est « un incident qui implique la visualisation, l'accès ou la récupération non autorisés ou illégaux de données par un individu, une application ou un service ».1 Ce type de brèche de sécurité informatique vise spécifiquement à voler des informations sensibles et peut être réalisé physiquement en accédant à un ordinateur ou à un réseau, ou à distance en contournant la sécurité du réseau.

Les violations de données surviennent généralement après qu'un pirate ou un utilisateur non autorisé similaire accède à une base de données ou à un référentiel de données sécurisé. Fréquemment menées via Internet ou une connexion réseau, les violations de données tournent généralement autour de la recherche de données logiques ou numériques.

Selon Symantec, les données les plus souvent perdues à la suite de violations de données sont les informations permettant d'identifier les personnes, telles que les noms complets, les numéros de carte de crédit et les numéros de sécurité sociale, suivies de près par les informations financières personnelles.2

Après avoir acquis ces données, les pirates peuvent les utiliser pour commettre une usurpation d'identité et d'autres cybercrimes, notamment en appliquant leurs informations volées et en obtenant un accès administrateur à l'ensemble de votre réseau.

En plus de la perte de données, une violation de données nuit à une entreprise et à ses clients d'autres manières. Les dommages s'étendent aux coûts de renforcement de la cybersécurité, de réparation et de mise à jour de la vulnérabilité exploitable, ainsi qu'aux dommages à long terme pour la réputation de l'entreprise et de ses clients qui se sont fait voler leurs informations privées.

Comment se produit une violation de données ?

La société multinationale de cybersécurité et de défense Trend Micro affirme que les violations de données constituent un processus en quatre étapes comprenant les actions suivantes pour une violation générale des données :

  • Recherche. Le pirate sonde l'ordinateur ou le réseau à la recherche de vulnérabilités.
  • Attaque. Le pirate lance son attaque, en établissant le contact par le biais d'un réseau ou d'une attaque sociale.
    • Attaque de réseau. Cette attaque implique une manipulation du réseau. Le pirate utilise les faiblesses de l'infrastructure, des systèmes et des applications pour s'infiltrer dans l'ordinateur ou le réseau de la victime.
    • Attaque sociale. Cette attaque implique une manipulation sociale. Le pirate informatique trompe ou appâte les employés pour qu'ils lui donnent accès à l'ordinateur ou au réseau. Cette méthode consiste notamment à inciter un employé à révéler ses identifiants de connexion ou à le duper pour qu'il ouvre une pièce jointe malveillante.
  • Exfiltration. Une fois qu'ils ont pénétré dans un ordinateur, les pirates peuvent ensuite attaquer le réseau ou dérober les données de l'entreprise. Lorsque le réseau est endommagé ou que les données sont extraites, l'attaque est considérée comme réussie.3

Pourquoi les violations de données se produisent-elles ?

Selon le fabricant de logiciels contre les logiciels malveillants Malwarebytes, « une violation de données n'est pas une menace ou une attaque en soi, mais plutôt le résultat d'une cyberattaque qui permet à des pirates d'accéder sans autorisation à un système ou à un réseau informatique et de voler ses données ».4 À mesure que le processus de numérisation du contenu s'intensifie et que le nuage continue de se développer, les violations de données continueront de se produire.

Les violations de données ciblées se produisent généralement pour les raisons suivantes :   

  • Vulnérabilités du système d'exploitation
  • Mots de passe faibles
  • Injection de langage d'interrogation structuré (SQL)
  • Logiciel espion
  • Hameçonnage
  • Téléchargements furtifs
  • Contrôles d'accès défaillants ou mal configurés

Vulnérabilités du système d'exploitation

Les pirates informatiques exploitent les vulnérabilités systématiques des logiciels ou des systèmes pour obtenir un accès non autorisé à un ordinateur ou à un réseau et à ses données. Les failles se trouvent généralement dans les systèmes d'exploitation, les navigateurs Internet et toute une série d'applications différentes.

Cachées dans le code d'un système, ces vulnérabilités sont recherchées par les pirates, ainsi que par les experts et les chercheurs en cybersécurité. Par exemple, les anciens systèmes d'exploitation peuvent, malheureusement, présenter des vulnérabilités intégrées que les pirates d'aujourd'hui sont en mesure d'exploiter facilement pour accéder aux données d'un ordinateur.

Alors que les pirates veulent utiliser ces failles à des fins malveillantes, les spécialistes de la cybersécurité cherchent à mieux comprendre ces failles et la manière dont elles peuvent être corrigées ou modifiées pour éviter les violations de données et renforcer la cybersécurité.

Pour faciliter leur travail douteux, certains groupes cybercriminels rassemblent plusieurs types de failles dans des modules automatisés. Ces modules permettent à des criminels ayant peu de connaissances techniques de profiter des failles.

Mots de passe faibles

Comme son nom l'indique, un mot de passe faible est un mot de passe facile à déterminer par les humains et les ordinateurs. Ces mots de passe contiennent souvent le nom du conjoint, des enfants, des animaux domestiques ou l'adresse de l'utilisateur, car ils sont faciles à retenir. Les mots de passe peuvent ne pas respecter la casse ou ne pas utiliser de majuscules ou de symboles.

Les mots de passe faibles sont faciles à deviner pour les pirates ou à utiliser dans le cadre d'attaques en force brute ou de piratage pour découvrir le mot de passe d'un utilisateur. De plus, il ne faut jamais noter son mot de passe sur son bureau et il ne faut surtout pas oublier que quelqu'un pourrait être en train de vous surveiller lorsque vous saisissez un mot de passe.

Attaque par injection SQL

Les attaques par injection de langage d'interrogation structuré (SQL) exploitent les vulnérabilités du logiciel de gestion de base de données SQL d'un site Web non sécurisé. Pour réaliser une attaque par injection SQL, un pirate intègre un code malveillant dans un site ou une application vulnérable, puis passe à la base de données dorsale.

Par exemple, un pirate modifie le code du site web d'un détaillant de sorte que, lorsqu'il effectue une recherche sur les « écouteurs les plus vendus », au lieu de donner des résultats sur les meilleurs écouteurs, le site web du détaillant fournit au pirate une liste de clients et les informations relatives à leur carte de crédit.

Un type de cyberattaque moins sophistiqué, les attaques SQL peuvent être réalisées à l'aide de programmes automatisés similaires à ceux utilisés pour les failles.

Logiciel espion

Les logiciels espions sont des logiciels malveillants qui infectent votre ordinateur ou votre réseau pour vous « espionner » et recueillir des informations sur vous, votre ordinateur et les sites Web que vous visitez.

Les victimes sont souvent infectées par des logiciels espions après avoir téléchargé ou installé quelque chose qui semble anodin, mais qui est associé à un logiciel espion. Vous pouvez également être infecté par un logiciel espion en cliquant sur un lien malveillant ou à la suite d'une infection secondaire par un virus.

Un logiciel espion peut également s'introduire dans votre ordinateur en tant qu'infection secondaire via un cheval de Troie comme Emotet. Comme indiqué sur le blog de Malwarebytes Labs, Emotet, TrickBot et d'autres chevaux de Troie bancaires ont trouvé une nouvelle vie en tant qu'outils de diffusion de logiciels espions et d'autres types de logiciels malveillants. Une fois votre système infecté, le logiciel espion renvoie toutes vos données personnelles aux serveurs C&C gérés par les cybercriminels.

Une fois que votre ordinateur a été infecté par un logiciel espion et qu'il a collecté des informations sur vous, il transmet ces informations à un emplacement distant, comme des serveurs de commande et de contrôle (C&C) ou un dépôt similaire, où les cybercriminels peuvent y accéder.

Hameçonnage

Les attaques par hameçonnage utilisent généralement l'ingénierie sociale pour manipuler les émotions de ses victimes contre toute logique et tout raisonnement et les amener à partager des informations sensibles. Elles sont souvent réalisées à l'aide d'attaques basées sur l'usurpation d'adresses électroniques ou sur des sites Web clonés qui fonctionnent de manière similaire.

Les attaquants qui utilisent des tactiques d'hameçonnage et d'envoi de pourriels inciteront les utilisateurs à faire les choses suivantes :

  • Révéler leurs identifiants et mots de passe
  • Télécharger des pièces jointes malveillantes
  • Consulter des sites Web malveillants

Par exemple, vous pouvez recevoir un courriel qui semble provenir de la société émettrice de votre carte de crédit, vous demandant de vérifier des débits fictifs sur votre compte et vous invitant à vous connecter en utilisant un lien vers une fausse version du site de la carte de crédit. Les victimes sans méfiance se connectent au faux site en utilisant leurs vrais noms d'utilisateur et mots de passe. Une fois que les pirates disposent de ces informations, ils peuvent se connecter et accéder à votre compte de carte de crédit, et l'utiliser pour une usurpation d'identité et d'autres cybercrimes similaires.

Téléchargements furtifs   

Les téléchargements furtifs sont des cyberattaques qui peuvent installer des logiciels espions, des logiciels publicitaires, des logiciels malveillants et d'autres logiciels similaires sur l'ordinateur d'un utilisateur sans son autorisation. Ils permettent aux pirates de profiter des brèches et des failles de sécurité des navigateurs, des applications et des systèmes d'exploitation.

Cette cyberattaque n'a pas nécessairement besoin de tromper les utilisateurs pour les inciter à l'activer. Contrairement aux attaques d'hameçonnage et d'usurpation d'identité où l'utilisateur doit cliquer sur un lien malveillant ou télécharger une pièce jointe malveillante, les téléchargements furtifs entrent simplement en contact avec un ordinateur ou un appareil sans l'autorisation de l'utilisateur.

Contrôles d'accès défaillants ou mal configurés

Si l'administrateur d'un site Web n'est pas vigilant, il pourrait mettre en place des contrôles d'accès qui permettraient au public d'accéder à des parties du système censées être privées. Ce faux pas peut être quelque chose d'aussi négligent que le fait d'omettre de définir comme privés certains dossiers de base qui contiennent des données sensibles. Les utilisateurs ordinaires ont tendance à ne pas être conscients des contrôles d'accès défaillants ou mal configurés. Toutefois, les pirates qui effectuent des recherches spécifiques sur Google peuvent localiser ces dossiers et y accéder. On peut comparer cette situation à celle d'un cambrioleur entrant dans une maison par une fenêtre non verrouillée, par opposition à un cambrioleur entrant dans une maison par une porte verrouillée.

Pirates informatiques bienveillants et violations de données  

Une violation de données, semblable à la plupart des autres types de délits informatiques, implique des pirates qui tentent d'obtenir un accès non autorisé à votre ordinateur ou à votre réseau et de voler vos informations privées. Cependant, il existe des cas où ce vol est commis avec des intentions bienveillantes.

Comme de nombreux chercheurs en cybersécurité, les pirates « en chapeau blanc » et autres pirates informatiques bienveillants tenteront de s'introduire dans votre ordinateur ou votre réseau pour découvrir des failles et des vulnérabilités, puis d'en informer les autres afin qu'ils puissent créer une solution permettant d'y remédier.

Par exemple, après neuf mois de travail de rétro-ingénierie, une équipe de pirates informatiques universitaires de l'université KU Leuven, en Belgique, a publié en septembre 2018 un article dévoilant la façon dont elle avait déjoué le chiffrement de Tesla pour la Model S.5 Les travaux de l'équipe ont permis à Tesla de créer une nouvelle technologie de cybersécurité pour ses véhicules, afin de remédier à la faille découverte par l'équipe de KU Leuven et utilisée pour cloner le porte-clés de la Model S.

Comment détecter une violation de données ?

Contrairement à de nombreux types courants de cyberattaques, les violations de données sont notoirement difficiles à détecter et il est très fréquent que les organisations découvrent la violation plusieurs jours ou semaines, voire plusieurs mois après sa survenue. Cet écart important entre le moment où la violation des données se produit et celui où elle est découverte est extrêmement problématique, car les pirates informatiques ont une longueur d'avance pour utiliser ou vendre les données volées. Lorsque la violation de données est enfin découverte et que la vulnérabilité ayant permis cette violation est corrigée, le mal est déjà fait.

Dans son message pour SecurityIntelligence, Koen Van Impe note qu'il existe deux signes d'une violation de données :

  • Précurseurs
  • Indicateurs6  

Précurseurs

Les précurseurs signalent une menace imminente sur la base d'informations publiques, telles que des blogs sur la sécurité, des avis de fournisseurs et des informations similaires provenant de sources d'analyse et de renseignement ou de détection de menaces. Les professionnels de la cybersécurité utilisent les précurseurs pour se préparer à une cyberattaque prévisible et pour adapter la sécurité et la cyberrésilience de leurs systèmes en fonction du niveau de menace. Les précurseurs sont généralement rares, surtout par rapport aux indicateurs.

Indicateurs

Des indicateurs montrent qu'une violation de données a pu se produire ou qu'elle est en cours. Les alertes de sécurité, les comportements suspects et les rapports ou alertes émis par des personnes à l'intérieur ou à l'extérieur d'une entreprise sont autant d'exemples d'indicateurs. Les indicateurs sont souvent très nombreux, ce qui contribue à l'inefficacité du processus de réponse aux incidents.

Quels sont les indicateurs à surveiller ?

Voici plusieurs indicateurs dont il faut être conscient en cas d'une éventuelle violation de données ou d'une cyberattaque similaire :

  • Activité irrégulièrement élevée de votre système, disque ou réseau. Cette augmentation de l'activité est particulièrement inquiétante si elle se produit pendant une période qui serait normalement une période d'inactivité.
  • Activité sur des ports réseau ou des applications qui sont habituellement inactifs. Une activité inhabituelle où les ports ou les applications utilisent des ports réseau qu'ils n'utilisent pas habituellement.
  • Un logiciel non reconnu est installé ou des préférences système bizarres sont définies.
  • Des modifications de la configuration du système non reconnues et non traçables, notamment des modifications du pare-feu, des reconfigurations de services, des installations de nouveaux programmes de démarrage ou des tâches programmées.
  • Pics d'activité dans un aperçu de la « dernière activité » des services infonuagiques, qui retrace les comportements anormaux. Cette activité comprend la connexion à des heures inhabituelles, à partir de lieux inhabituels ou de plusieurs lieux sur une courte période, ainsi que toute autre activité anormale de l'utilisateur.
  • Blocages imprévus de comptes utilisateurs, réinitialisations de mots de passe ou déviations d'appartenance à un groupe.
  • Blocages fréquents du système ou des applications.
  • Alertes provenant des protections contre les logiciels malveillants ou les antivirus, y compris les notifications indiquant qu'elles ont été désactivées.
  • Des fenêtres surgissantes fréquentes ou des redirections inattendues lors de la navigation sur Internet, ou des modifications de la configuration du navigateur, telles qu'une nouvelle page d'accueil ou des préférences pour le moteur de recherche.
  • Vos contacts affirment avoir reçu des courriels inhabituels ou des messages directs provenant de réseaux sociaux que vous ne leur avez pas envoyés.
  • Vous recevez un message d'un attaquant vous réclamant de l'argent, par exemple, par le biais d'un rançongiciel.

Que faire pour détecter une violation de données et y répondre ?

En plus des précurseurs et des indicateurs, voici plusieurs principes fondamentaux susceptibles de renforcer votre capacité à détecter et à réagir à une intrusion dans votre système :

1. Pas de changement, pas de drapeaux rouge

Évitez d'apporter des modifications à votre ordinateur ou à votre réseau. En apportant des modifications à un système dans lequel on soupçonne une intrusion, on risque d'endommager ou de détruire des preuves, voire d'aggraver la situation. Le facteur déterminant ici est le poids de l'incident et l'intention du pirate, ainsi que vos objectifs commerciaux et l'impact de la violation sur ceux-ci. 

2. Rassemblez les preuves

Assurez-vous de recueillir des preuves de ce que vous soupçonnez être une intrusion et veillez à ce que ces preuves soient stockées dans un endroit où le risque de perte de données est faible. Ce processus facilitera l'analyse des incidents et la prise de décision après l'incident, ainsi que la collecte de données à des fins criminalistiques.

Les fichiers journaux, les informations sur le disque et la mémoire, les échantillons de logiciels malveillants, les listes de processus en cours, les listes d'activités des utilisateurs et les connexions réseau actives sont autant de données qui peuvent être collectées à des fins de preuve.

Conformément à la règle « pas de modifications, pas de drapeaux rouges », n'apportez aucune modification au système pendant la collecte de ces informations. Et comme pour la première règle, tenez compte de votre situation, du poids de l'incident et d'autres facteurs pertinents lorsque vous pesez les avantages ou les inconvénients de vos actions.

Si vous pouvez y accéder, envisagez d'utiliser des outils d'investigation à distance et travaillez en étroite collaboration avec votre équipe chargée des opérations informatiques ou de la cybersécurité. Si vous ne disposez pas d'un système de journalisation centralisé, assurez-vous que les journaux soient copiés dans un emplacement en lecture seule sur un ordinateur ou un système différent de celui qui a été attaqué.

3. Tout enregistrer

Les notes prises lors de la réponse à un incident peuvent fournir une mine de données. Essayez d'enregistrer chaque action entreprise, y compris les actions de vérification, de corrélation et de basculement. Assurez-vous que vous n'ayez rien manqué qui puisse être important plus tard. Vos notes peuvent vous permettre d'établir des échéances et de déterminer les secteurs du système qui ont besoin de soutien.

4. Discutez avec vos pairs

Une fois que vous avez réussi à comprendre tout ce qui se passe dans votre système, consultez vos pairs et vérifiez vos conclusions. Ce processus comprend la consultation des sources de renseignements sur les menaces, ainsi que des centres de partage et d'analyse de l'information (ISAC) et des équipes nationales de réponse aux incidents de sécurité informatique (CSIRT). Cette étape vous permettra de déterminer ce que d'autres ont déjà fait et les mesures à prendre pour endiguer l'intrusion et réparer les dommages qu'elle a causés.

5. Créez un rapport interne

Outre le signalement des incidents observés, vous devez également signaler à vos parties prenantes tout incident critique en cours qui pourrait avoir un impact sur votre entreprise. Une analyse de haut niveau de l'attaque doit inclure les faits suivants :

  • Si l'attaque était ciblée
  • Si l'attaque a été observée avant
  • Si d'autres entreprises ou organisations ont subi des attaques similaires
  • Les dommages causés à ce jour et ceux qui sont attendus à l'avenir
  • Quelle était l'intention de l'attaque ?

6. Sensibiliser aux rapports  

Les indicateurs peuvent inclure des rapports de personnes au sein de votre organisation. Ces rapports internes peuvent fournir des informations essentielles pour sensibiliser à des comportements ou des situations inhabituels. Rationalisez le processus d'établissement des rapports et sensibilisez vos employés aux rapports. Envisagez d'établir un bouton « signaler un incident » sur la page d'accueil interne de votre organisation.

Assurez-vous que vos employés connaissent votre équipe de cybersécurité ou votre équipe d'assistance informatique. Veillez à ce que vos employés puissent facilement contacter ces équipes s'ils ont des questions ou des suggestions. Créez des questions à poser à ces équipes pour les aider à collecter des informations. 

Favorisez la transparence et le sentiment d'appartenance aux rapports. Ce processus peut impliquer un suivi avec chaque personne ayant soumis un rapport et une mise à jour concernant l'incident spécifique au rapport de chaque personne.

En intégrant ce processus à votre lieu de travail, non seulement vous contribuerez à cultiver une philosophie de la sécurité informatique et à renforcer potentiellement votre cyberrésilience et votre sécurité, mais les employés seront plus enclins à signaler tout ce qui leur semble inhabituel. Ce processus et cette culture combinés peuvent vous aider à stopper les intrusions dès leur début.

Veillez à inclure dans votre rapport toutes les mesures de prévention qui ont été prises, si elles ont été efficaces, et quelles mesures supplémentaires vous pouvez vous attendre à prendre à l'avenir. Bien qu'il vous incombe d'inclure les détails techniques appropriés, veillez à vous concentrer sur l'impact de cette attaque sur l'entreprise et ses employés.  

Comment éviter une violation des données ?

Il n'existe pas de solution miracle pour prévenir une violation de données, si ce n'est de ne jamais aller sur Internet, de ne jamais démarrer votre ordinateur ou de ne jamais mettre votre réseau en ligne. De toute évidence, ce ne sont pas des solutions acceptables pour quiconque. 

Heureusement, pour réduire le risque de violation des données, il existe plusieurs mesures que vous pouvez prendre pour renforcer votre cybersécurité et votre cyberrésilience.

  • Utilisez des mots de passe forts. Pensez à utiliser un générateur de mots de passe qui crée des combinaisons aléatoires de lettres majuscules et minuscules, de chiffres et de symboles. Envisagez d'utiliser un programme de suivi des mots de passe qui gère ces mots de passe pour vous.
  • Surveillez vos finances. Examinez régulièrement l'activité de vos comptes bancaires et d'autres comptes financiers similaires. Si possible, utilisez des alertes d'activité qui vous informent de toute activité inhabituelle. 
  • Surveillez votre rapport de crédit. Si quelqu'un essaie d'utiliser vos informations privées pour obtenir une carte de crédit ou ouvrir un compte bancaire en votre nom, le rapport de crédit le montrera. Divers sites tels que Credit Karma proposent gratuitement des rapports de crédit.
  • Agissez immédiatement. Dès que vous constatez une activité inhabituelle, prenez immédiatement des mesures et contactez la société de carte de crédit, la banque ou tout autre établissement financier concerné. Si vous avez été victime d'une violation de données, veillez à l'en informer.
  • Sécurisez votre téléphone. Créez toujours un mot de passe numérique court ou un mot de passe rapide pour votre téléphone. Si votre téléphone est équipé d'un lecteur d'empreintes digitales, vous devriez également l'utiliser. L'utilisation de ces fonctions de sécurité constitue une ligne de défense contre l'accès non autorisé à votre téléphone et à toutes les informations personnelles qu'il contient en cas de perte ou de vol.    
  • Faites attention aux URL. Essayez d'utiliser uniquement des URL sécurisées. Les URL sécurisées commencent par "Erreur! La référence de l'hyperlien n'est pas valide.”. Le « s » signifie « secure » et la requête HTTP utilise le protocole SSL (Secure Sockets Layer), un protocole utilisé pour la communication sécurisée entre deux parties. 
  • Installez un antivirus à jour. Selon le logiciel que vous utilisez et la façon dont votre réseau est configuré, il peut également inclure un pare-feu. Il va sans dire que le fait de disposer d'un logiciel antivirus fiable avec des définitions à jour renforce généralement votre cybersécurité et votre cyberrésilience et améliore généralement votre défense contre les cyberattaques.
  • Sauvegardez régulièrement vos fichiers. Établissez un calendrier régulier pour sauvegarder vos fichiers et stocker ces sauvegardes dans un environnement sécurisé. Ce processus vous aidera à créer des objectifs de point de reprise (OPR) en cas de perte ou de corruption de données.
  • Formatez ou détruisez vos anciens disques durs. Si vous remplacez vos anciens systèmes et que vous prévoyez de réutiliser les composants, veillez à formater les disques durs avant de les installer dans de nouveaux ordinateurs. Si vous vous débarrassez simplement de ces systèmes et ne prévoyez pas de réutiliser les composants, commencez par sauvegarder vos fichiers. Ensuite, éliminez vos disques durs de manière à ce que personne ne puisse s'en servir. La solution la plus simple est généralement de leur donner un coup de marteau.
  • Ne publiez pas d'informations importantes en ligne. Cette étape est facile et ne devrait pas nécessiter beaucoup d'explications. Ne publiez pas d'informations privées, sensibles ou autrement très importantes en ligne, y compris sur vos comptes de réseaux sociaux. Il est également conseillé de configurer vos comptes de réseaux sociaux en mode privé afin de limiter les personnes qui peuvent en consulter le contenu.
  • Faites appel à des services de protection contre le vol d'identité et de surveillance du crédit. Envisagez de recourir à des services de protection contre le vol d'identité et de surveillance du crédit, car ils contribuent à prévenir le vol d'identité et peuvent vous avertir en cas de vol.
  • Utiliser des services de paiement sécurisés. Paypal est un excellent exemple de service de paiement sécurisé, car il ne vous demande pas de communiquer les informations de votre carte de crédit pour effectuer un paiement. Au lieu de cela, il vous aide à effectuer des paiements sécurisés en utilisant vos comptes et sans vous demander de saisir des informations sensibles.

2018 : année de la violation de données

En raison de la grande quantité de données qu'elles contiennent, les entreprises et les grandes organisations sont des cibles exceptionnellement attrayantes pour les cybercriminels qui cherchent à voler des données.

Dans l'article Malwarebytes Lab intitulé 2018 : l'année du tsunami des violations de données, l'auteur Logan Strain note qu'il y a eu plus de violations de données en 2017 qu'en 2018. Toutefois, les violations de données de 2018 ont été plus massives et ont fait des victimes parmi les plus grandes entreprises technologiques, les détaillants et les prestataires de services d'accueil, comme Facebook, Under Armor, Quora et Panera Bread.

En raison des quantités massives de données qu'elles contiennent, les sociétés et les entreprises sont des cibles attrayantes pour les cybercriminels qui cherchent à voler de grandes quantités de données privées. Selon l'étude sur le coût d'une violation de données menée en 2018 par l'institut Ponemon, une violation de données reste non détectée pendant 197 jours en moyenne. L'étude soutient que le coût total moyen d'une violation de données pour une entreprise est de 3,86 millions de dollars, ce qui représente une augmentation de 6,4 % par rapport à 2017. Le coût moyen mondial pour chaque dossier perdu ou volé a également augmenté de 4,8 % et s'élève en moyenne à environ 148 USD par dossiepar dossier.

La quantité de données perdues est encore aggravée par le fait que les violations de données sont notoirement difficiles à détecter, qu'elles passent souvent inaperçues et qu'une fois détectées, il faut 69 jours supplémentaires pour réparer les dommages et récupérer les pertes

Violations de données, expositions et cyberattaques sur Facebook

Facebook a connu plusieurs violations et expositions de données, ainsi que des cyberattaques qui ont été rendues publiques en 2018 et 2019. L'exposition des données de Facebook concerne des données stockées en ligne et accessibles au public sans mot de passe. Ces expositions n'impliquent pas nécessairement une intention malveillante, comme une violation de données ou une cyberattaque, mais sont plutôt liées à une erreur humaine et sont à l'origine d'un problème de sécurité.

La première violation de données

Quand la violation a-t-elle eu lieu ? Entre 2013 et 2015

Quand la violation a-t-elle été découverte ? Inconnu

Quand la violation a-t-elle été rendue publique ? La violation a été révélée le 17 mars 2018 par des rapports de The New York Times et The Guardian.

Qu'est-ce qui a été volé ?

  • Données de profil des utilisateurs de Facebook
  • Préférences et intérêts des utilisateurs de Facebook

Bien qu'il ait été initialement indiqué que 50 millions de profils Facebook avaient été consultés par Cambridge Analytica, de multiples rapports ont ensuite confirmé que le chiffre était en réalité plus proche de 87 millions de profils.

Comment la violation des données s'est-elle produite ? Une faille dans l'interface de programmation d'applications (API) de Facebook a permis à des développeurs tiers de collecter des données. Cambridge Analytica a exploité cette faille et a pu voler les données des utilisateurs de l'application Facebook, ainsi que de toutes les personnes du réseau d'amis de ces utilisateurs sur Facebook.

Technicité. Techniquement, cet événement n'est pas une violation de données, mais plutôt une utilisation abusive des données des utilisateurs.

La deuxième violation de données

Quand la violation a-t-elle eu lieu ? La deuxième violation a eu lieu entre juillet 2017 et fin septembre 2018.

Quand la violation a-t-elle été découverte ? La violation a été découverte le 25 septembre 2018.

Quand la violation a-t-elle été rendue publique ? Cette violation a été rendue publique le 28 septembre 2018.

Qu'est-ce qui a été volé ?

  • Noms
  • Les numéros de téléphone
  • Adresses de courriel

Divers renseignements personnels

Combien de données ont été volées ? Dans un premier temps, Facebook a indiqué que la violation avait exposé les informations d'environ 50 millions de profils, chiffre qui a ensuite été révisé à 30 millions d'utilisateurs, 14 millions d'entre eux ayant eu accès à leur nom d'utilisateur et à leur historique de recherche sur Facebook.

Comment la violation des données s'est-elle produite ? Grâce à une faille dans le code de la fonction « Afficher en tant que » de Facebook, les pirates ont volé des jetons d'accès à Facebook, puis les ont utilisés pour accéder aux comptes des utilisateurs et en prendre potentiellement le contrôle.

Qu'est-il arrivé aux données ? Cambridge Analytica a utilisé les données de ces profils pour identifier les électeurs influents lors de l'élection présidentielle américaine de 2016.9

L'attaque de la Nasty List d'Instagram

Quand l'attaque a-t-elle eu lieu ? Inconnu

Quand l'attaque a-t-elle été découverte ? En mars et avril 2019

Quand l'attaque a-t-elle été rendue publique ? 8 avril 2019

Qu'est-ce qui a été volé ?

  • Informations de connexion Instagram :
    • Noms d'utilisateur et mots de passe
    • Adresses de courriel
    • Les numéros de téléphone

Comment cette attaque s'est-elle produite ? Signalés pour la première fois sur Reddit, les comptes Instagram compromis envoyaient des messages aux comptes non compromis qu'ils suivaient, les invitant à dire qu'ils figuraient sur une "mauvaise liste" ("Nasty List") ou quelque chose de similaire, et incluant un lien malveillant. Une attaque d'hameçonnage, ce lien malveillant conduirait l'utilisateur vers une page Instagram clonée ou autrement fausse et l'inviterait à se connecter.

Combien de données ont été volées ? La quantité d'informations volées aux utilisateurs d'Instagram à la suite de cette attaque est inconnue.9

Exposition des données des fichiers en texte brut des mots de passe Instagram

Comment cette exposition de données s'est-elle produite ? Inconnu

Quand cette exposition de données a-t-elle été découverte ? En mars et avril 2019

Quand cette exposition de données a-t-elle été rendue publique ? 18 avril 2019

Qu'est-ce qui a été exposé ? Des millions de mots de passe Instagram

Comment cette exposition de données s'est-elle produite ? À la suite des attaques de la Nasty List d'Instagram, Facebook a confirmé d'autres problèmes de sécurité des mots de passe, notant que les mots de passe de millions de comptes Instagram étaient stockés dans un fichier en texte brut. Bien que Facebook ait déclaré que « notre enquête a déterminé que ces mots de passe stockés n'ont pas fait l'objet d'un abus interne ou d'un accès inapproprié »,11 les utilisateurs dont les informations figuraient dans le fichier en texte brut ont été invités à réinitialiser leur mot de passe.

Exposition des données des bases de données non sécurisées de Facebook

Comment cette exposition de données s'est-elle produite ? Inconnu

Quand cette exposition de données a-t-elle été découverte ? Inconnu

Quand cette exposition de données a-t-elle été rendue publique ? 4 septembre 2019

  • Qu'est-ce qui a été exposé ?
  • Des numéros de téléphone liés à 419 millions de comptes d'utilisateurs provenant de plusieurs bases de données réparties sur plusieurs zones géographiques, notamment :
  • 133 millions d'enregistrements d'utilisateurs Facebook basés aux États-Unis
  • 18 millions d'enregistrements d'utilisateurs au Royaume-Uni
  • Plus de 50 millions d'enregistrements sur les utilisateurs au Vietnam
  • En plus des identifiants et des numéros de téléphone des utilisateurs de Facebook, des informations sur le nom d'utilisateur, le sexe et le pays d'origine de chaque compte ont été utilisées.

Comment cette exposition de données s'est-elle produite ? Des bases de données non sécurisées réparties dans plusieurs pays contenaient des identifiants de comptes Facebook, des numéros de téléphone et d'autres informations sur les utilisateurs.12

Ressources

  1. Violation de données, Techopédia, 5 septembre 2018.
  2. Qu'est-ce qu'une violation de données, Norton, 10 mars 2020.
  3. Violations de données 101 : comment elles se produisent, ce qui est volé et où tout cela se passe, Trend Micro, 10 août 2018.
  4. Violation de données, Malwarebytes.
  5. Andy Greenberg, Les pirates peuvent voler une Tesla Model S en quelques secondes en clonant son porte-clés, Wired, 10 septembre 2018.
  6. Koen Van Impe, Ne vous y attardez pas : comment détecter plus efficacement une violation sur votre réseau, SecurityIntelligence, 22 octobre 2018.
  7. Logan Strain, 2018 : l'année du tsunami des violations de données, Malwarebytes Labs, 4 avril 2019.
  8. Étude sur le coût d'une violation de données menée en 2018 par l'institut Ponemon : aperçu mondial, Institut Ponemon, juillet 2018.
  9. Eitan Katz, Les 20 plus grandes violations de données de 2018, Blogue de Dashlane, 2 janvier 2019.
  10. Davey Winder, Les pirates utilisent la Nasty List d'Instagram pour voler des mots de passe - Voici ce que vous devez savoir, Forbes, 14 avril 2019.
  11. Sécurisation des mots de passe, Facebook, 21 mars 2019.
  12. Davey Winder, Les bases de données Facebook non sécurisées divulguent les données de 419 millions d'utilisateurs, Forbes, 5 septembre 2019.