Actualités de la sécurité

Les 10 plus grandes violations de données en 2018

Martin Hron, 29 janvier 2019

Comme il y en a eu beaucoup, nous ne prendrons en compte que certaines des plus grandes violations de données de l'année.

En regardant l'année écoulée, il est impossible de ne pas reconnaître les violations généralisées des données qui ont provoqué un tel chaos pendant, semble-t-il, les 52 semaines de l'année. Les données secrètes et sensibles de centaines de millions de personnes ont été déchiffrées et exposées, puis rassemblées sur diverses listes Web malveillantes pour être vendues. Les violations de données constituent une tendance terrifiante dans le monde de la cybercriminalité, qui ne montre aucun signe de ralentissement pour le moment.

Si vos informations ont été compromises dans l'un de ces événements malheureux, nous avons traité le sujet de la survie à une violation de données, mais pour beaucoup, la récupération après une violation de données est un parcours du combattant vers la sécurité. Pour les plus curieux, examinons de plus près nos 10 plus grandes violations de données de 2018.

Ce qui est intéressant, c'est que, même si certaines atteintes à la sécurité des données constituent des attaques délibérées, d'autres sont simplement des bases de données négligées, trouvées par les auditeurs de la sécurité sur Internet, comme des coffres-forts non protégés et déverrouillés. Notre liste en contient des exemples de chaque violation. Par ordre décroissant, en comptant certaines des plus grandes violations de données de l'année, voici les pires.

N° 10 — Panera

  • Nombre de victimes : 37 millions
  • Qui a été ciblé : Tous les comptes clients PaneraBread.com
  • Quelles données ont été exposées : Les noms, adresses électroniques et physiques, les anniversaires et les quatre derniers chiffres des numéros de carte bancaire des clients
  • Période : Découverte en avril 2018
  • Ce qui est arrivé : En dépit d'avoir été avertie par un expert en cybersécurité en août 2017 d'une fuite de données sur leur site, l'équipe informatique Panera n'a agi que 8 mois plus tard, au moment de la fuite annoncée et de la fermeture du site pour maintenance de sécurité.

N° 9 — Newegg

  • Nombre de victimes : 50 millions
  • Qui a été ciblé : Les acheteurs en ligne du site Newegg
  • Quelles données ont été exposées : Informations de carte bancaire
  • Période : Du 14 août 2018 au 18 septembre 2018
  • Ce qui est arrivé : Le revendeur en ligne a été piraté par le cybergang Magecart, qui a injecté un code de détournement de carte bancaire sur le site Newegg. Chaque fois qu'un client faisait des achats en ligne, les informations de paiement étaient directement transmises au serveur de commande et de contrôle de Magecart.

N° 8 — Elasticsearch

  • Nombre de victimes : 82 millions (57 millions de consommateurs et 26 millions d'entreprises)
  • Qui a été ciblé : Les utilisateurs et les entreprises en ligne sur Internet
  • Quelles données ont été exposées : Utilisateurs individuels : noms, adresses électroniques et physiques, numéros de téléphone, adresses IP, employeurs et intitulés de poste. Entreprises : noms, informations sur l'entreprise, codes postaux, itinéraires des transporteurs, latitudes/longitudes, secteurs de recensement, numéros de téléphone, adresses Web, adresses électronique, nombre d'employés, chiffres d'affaires, codes SCIAN, codes SIC, etc.
  • Période : Découverte le 14 novembre 2018
  • Ce qui est arrivé : Il s'agit de l'un des cas que nous avons mentionné ci-dessus où lors d'un audit de sécurité régulier, un chercheur est tombé sur plus de 80 millions d'enregistrements de données sensibles et agrégées. On ne sait pas depuis combien de temps les bases de données n'étaient pas protégées et si quelqu'un, le cas échéant, a eu l'occasion de copier et de voler toutes les données. Les experts en cybersécurité estiment avoir retrouvé la source des bases de données non protégées : il s'agit d'une société de gestion de données qui a depuis fermé ses portes, mais cette information est toujours officiellement inconnue.

N° 7 — Facebook

  • Nombre de victimes : 87 millions
  • Qui a été ciblé : Les utilisateurs de Facebook
  • Quelles données ont été exposées : Informations de profil, convictions politiques, réseaux d'amis, messages privés
  • Période : Découverte en septembre 2018
  • Ce qui est arrivé : Il s'agit du tristement célèbre scandale Cambridge Analytica où les informations des utilisateurs ont été récupérées illégalement sans leur autorisation par une entreprise de collecte de données. L'opération secrète a été motivée sur le plan politique, notamment afin d'influencer la campagne présidentielle américaine de 2016. Et bien que la violation se soit produite il y a quelques années, les conclusions d'enquête n'ont été publiées que cette année, nous donnant une image plus précise de ce qui s'est passé.

N° 6 — MyHeritage

  • Nombre de victimes : 92 millions
  • Qui a été ciblé : Les utilisateurs de MyHeritage
  • Quelles données ont été exposées : Adresses électroniques et mots de passe chiffrés
  • Période : Alerte en juin 2018
  • Ce qui est arrivé : Des chercheurs en cybersécurité ont alerté le site de généalogie en juin 2018 qu'un serveur externe avait été découvert avec des informations sensibles sur MyHeritage. La société a confirmé que les informations étaient légitimes et a averti ses utilisateurs que tous les titulaires de compte s'étant inscrits avant le 26 octobre 2017 n'étaient plus protégés et devaient changer leurs mots de passe.

N° 5 — Quora

  • Nombre de victimes : 100 millions
  • Qui a été ciblé : Les utilisateurs de Quora
  • Quelles données ont été exposées : Noms, adresses électroniques, mots de passe chiffrés, données de profil et actions publiques et non publiques
  • Période :Découverte le 3 décembre 2018
  • Ce qui est arrivé : De nombreuses questions entourent encore les détails de cette violation, mais le site de questions-réponses a signalé à ses utilisateurs qu'un tiers avait eu un accès non autorisé à l'un de leurs systèmes, sans en dire plus.

N° 4 — Under Armour

  • Nombre de victimes : 150 millions
  • Qui a été ciblé : Les utilisateurs de MyFitnessPal
  • Quelles données ont été exposées : Noms d'utilisateur, adresses électroniques, mots de passe chiffrés
  • Période : Fin février 2018
  • Ce qui est arrivé : L'application d'alimentation et de nutrition de la société a été piratée, fournissant les informations ci-dessus aux pirates ; heureusement, aucune information de paiement, que la société traite via un canal séparé, n'a été piratée.

N° 3 — Exactis

  • Nombre de victimes : 340 millions (230 millions de consommateurs et 110 millions d'entreprises)
  • Qui a été ciblé : Les utilisateurs et les entreprises sur Internet
  • Quelles données ont été exposées : Plus de 400 catégories d'informations, telles que les numéros de téléphone, les adresses électroniques et physiques, les intérêts, les âges, les religions, les propriétaires d'animaux, etc.
  • Période : Juin 2018
  • Ce qui est arrivé : L'entreprise de collecte de données Exactis a vu 2 téraoctets de données relocalisés sur un site public visible de tous. On ignore qui ou combien de personnes ont accédé aux informations avant qu'elles ne soient découvertes.

N° 2 — Starwood

  • Nombre de victimes : 500 millions
  • Qui a été ciblé : Les clients de Starwood
  • Quelles données ont été exposées : Noms, adresses électroniques et physiques, numéros de téléphone, numéros de passeport, informations de compte, dates de naissance, sexe, informations de voyage et informations d'hébergement. Certaines des informations piratées incluent également des informations de carte bancaire chiffrées.
  • Période : Découverte le 10 septembre 2018, mais pourrait avoir s'étendre jusqu'en 2014
  • Ce qui est arrivé : Comme beaucoup d'autres déclarations de violation officielles, la chaîne d'hôtel appartenant à Marriott a publié une déclaration indiquant que ses serveurs avaient souffert d'un « accès non autorisé », mais de récentes découvertes de l'enquête indiquent que la violation pourrait avoir été causée par le gouvernement chinois à des fins politiques.

N° 1 — Aadhaar

  • Nombre de victimes : 1,1 milliard
  • Qui a été ciblé : Les citoyens indiens
  • Quelles données ont été exposées : Les numéros Aadhaar, noms, adresses électroniques et physiques, numéros de téléphone et photos
  • Période : D'août 2017 à janvier 2018

Que faire si votre mot de passe a été volé lors d'une violation de données ?

Si vous craignez d'être victime de l'un de ces incidents ou d'autres incidents, veuillez immédiatement :

  • Modifier tous les mots de passe similaires au mot de passe qui a été piraté (et évitez de réutiliser les mêmes mots de passe). Créer vos identifiants de connexion indéchiffrables en suivant les meilleures pratiques de mot de passe Ne jamais envoyer à quelqu'un un code d'authentification à deux facteurs.
  • Méfiez-vous des SMS ou des e-mails suspects qui prétendent provenir de votre banque ou de votre compagnie d'assurance (ou de toute autre entreprise) car les usurpations d'identité sont particulièrement courantes au lendemain des violations de données.
  • Soyez prudent lorsque vous fournissez des données qui ne sont peut-être pas nécessaires pour un compte en ligne que vous avez créé (par exemple, un numéro de passeport pour la réservation d'une chambre d'hôtel) et surveillez toujours votre cote de solvabilité en cas de modification pouvant indiquer une usurpation d'identité.

Anticipation : comment se protéger en 2019

Nous devons à tout prix éviter de sombrer dans un état d'esprit désabusé « à chaque jour sa violation de données », car la protection de vos informations personnelles est plus importante que jamais. Si vous avez déjà fourni des données personnelles à une entreprise, que ce soit en ligne ou hors ligne, je suis désolé de dire que vous êtes une cible potentielle de la cybercriminalité.

La dure réalité est que tout pirate informatique expérimenté, s'il travaille assez dur, finira par avoir accès à une organisation non protégée. Ainsi, au lieu de faire aveuglément confiance aux politiques de protection de la vie privée des entreprises, les individus doivent s'éduquer et ne faire confiance à personne pour être un bon dépositaire de leurs informations personnelles. Voici quelques actions simples que vous pouvez entreprendre pour rester dans la catégorie des personnes « indemnes » en 2019.

Utilisation d'un gestionnaire de mots de passe

Vous n'avez aucune excuse. Les Outils de gestion de mot de passe fonctionnent sur votre ordinateur de bureau, votre téléphone mobile et votre tablette. Leur utilisation signifie que vous pouvez attribuer à chaque compte un mot de passe complexe et unique, mais que vous-même n'en avez besoin que d'un seul. Cela garantit que toute violation de données incluant vos informations d'identification ne se répercutera pas sur d'autres comptes.

Retenez ceci : si un jour vous pensez que vos informations ont été piratées, vous pouvez rechercher votre adresse électronique sur un site de mots de passe piratés agrégés, comme Avast Hack Check, qui vous permettra de savoir si le mot de passe de ce compte a été piraté. Et, oui, il vaut toujours mieux savoir.

Lorsque cela est possible, activez l'authentification à deux facteurs

En activant l'authentification à deux facteurs, même si les pirates ont votre nom d'utilisateur et votre mot de passe, ils ne peuvent toujours pas accéder à votre compte. En outre, utilisez absolument l'authentification à deux facteurs sur votre compte de messagerie si vous le pouvez.

Bonne année 2019 à tous et en toute sécurité !

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour connaître les dernières actualités, pensez à nous suivre sur Facebook et Twitter.