Les violations de données sont effrayantes : chaque jour, elles font la Une des journaux et nous plongent dans un sentiment d'anxiété permanent. Mais le coupable n'est pas toujours un gros monstre voleur de données qui nous en veut. En effet, la faute en revient parfois à nos propres mots de passe faibles. Dans les faits, 80 % des violations de données sont causées par des mots de passe faibles, compromis ou réutilisés.
Dans un sens, ce genre d'information peut nous faire sentir un peu bêtes. Mais d'un autre côté, il est rassurant de savoir que nous pouvons toujours avoir une longueur d'avance sur les cybercriminels, même si notre seule arme est un bon mot de passe.
Dans cette série d'articles sur la protection des données, nous abordons des domaines cruciaux de la cybersécurité, qui vont de la protection des mots de passe à la sécurité des navigateurs, en passant par des conseils pour assurer la sécurité de vos informations en ligne. Être victime d'une violation de données est une préoccupation majeure, c'est pourquoi nous allons vous expliquer combien il est facile de l'éviter.
Dans cet article, nous aborderons les points suivants :
Qu'est-ce qu'une violation de données ?
Les violations de données récentes.
Comment et pourquoi les violations de données surviennent ?
Ce que vous pouvez faire pour les éviter.
Qu'est-ce qu'une violation de données ?
Une violation de données est un incident au cours duquel des informations confidentielles et protégées sont dévoilées, copiées, utilisées ou obtenues sans autorisation. Par exemple, le vol des détails de votre carte bancaire ou de votre numéro de sécurité sociale. À plus grande échelle, les multinationales peuvent accidentellement exposer des millions de mots de passe d'utilisateurs à des cybercriminels. Une fois les données divulguées, il est impossible de contrôler leur propagation et leur utilisation.
Qu'il s'agisse d'hôpitaux ou de forums de gaming, vos informations sont stockées à divers endroits. Bien que nous fassions confiance à ces entités pour protéger nos données, les choses dérapent fréquemment. Les pirates informatiques cherchent toujours à avoir une longueur d'avance quand il s'agit de la sécurité des appareils et des entreprises. La fonction FaceID de l'iPhone peut être piratée en moins de 120 secondes, un mot de passe faible en quelques millisecondes et même votre babyphone est vulnérable.
Les principales violations de données en 2019
Fortnite. Une page Web non sécurisée a rendu plus de 200 millions d'utilisateurs vulnérables aux attaques.
Verifications.io. L'agence de marketing n'avait aucune mesure de sécurité en place pour protéger sa gigantesque base de données d'informations sur les consommateurs. Bob Diachenko, expert en sécurité, a signalé cet incident, qui a entraîné la mise hors service de la base de données. Elle contenait les noms, dates de naissance et adresses personnelles des utilisateurs.
Facebook. 540 millions d'identifiants, de noms de comptes, de mentions "J'aime" et de commentaires publiés sur un serveur accessible au public par le biais d'une application tierce.
Capital One. Selon le New York Times, une employée a réussi à dérober 80 000 numéros de comptes bancaires, 140 000 numéros de sécurité sociale et des millions de dossiers de cartes de crédit. Résultat : elle a endetté de 300 millions de dollars l'une des banques les plus fiables au monde.
Les principales violations de données en 2020
Marriott International. Des pirates ont pu accéder à une application tierce utilisée pour fournir des services aux clients grâce aux données de connexion de deux employés. Ils ont ainsi découvert les informations privées de 5,2 millions de clients de Marriott. Les données exposées incluaient notamment leurs noms, adresses e-mail, numéros de téléphone et dates de naissance.
Drizly. La startup de livraison d'alcool en ligne Drizly a fait état d'une violation qui a affecté les données personnelles de plus de 2,5 millions de comptes. Les informations exposées comprenaient des mots de passe hashés, adresses e-mail et dates de naissance.
Microsoft. Une base de données du service clients avec plus de 280 millions de fiches clients de Microsoft est restée en ligne sans protection. La base de données piratée comprenait des adresses IP d'utilisateurs, adresses e-mail et détails des demandes d'assistance.
T-Mobile. Les données sensibles d'un nombre indéterminé de clients ont été consultées par le biais du compte de messagerie d'un employé de T-Mobile, après une attaque de la chaîne d'approvisionnement, et ont été exposées. Les informations incluaient des noms, adresses, numéros de sécurité sociale, informations sur des comptes financiers, numéros d'identification gouvernementaux et numéros de téléphone.
Les principales violations de données en 2021
Facebook. Les informations personnelles de plus de 533 millions d'utilisateurs de Facebook dans 106 pays ont été publiées gratuitement sur un forum dédié au piratage. Les données extraites comprenaient des numéros de téléphone, noms, localisations, adresses e-mail et informations biographiques.
Reverb. La base de données de cette célèbre place de marché pour le matériel musical a été piratée, puis divulguée sur le dark web. Elle contenait les informations personnelles de plus de 5,6 millions d'utilisateurs, dont les noms, numéros de téléphone, informations de compte PayPal et adresses IP.
MeetMindful. Cette plateforme de rencontres a été visée par un pirate informatique et a vu les détails des comptes et les informations personnelles de ses utilisateurs exposés. Les informations divulguées comprenaient les détails de plus de 2,28 millions d'utilisateurs, dont les noms, e-mails, préférences de rencontre, état civil, dates de naissance, adresses IP, identifiants Facebook et jetons d'authentification.
Twitch. La célèbre plateforme de streaming en direct a souffert d'une violation importante. Plus de 100 Go de données ont fuité et ont été publiées sur 4chan. Parmi les informations que les hackers ont obtenues et divulguées, on compte le code source de Twitch, les protocoles de sécurité internes et les relevés de gains de nombreux streamers populaires.
Les principales violations de données en 2022
Crypto.com. Le 17 janvier 2022, le site d'échange de cryptomonnaies a subi une attaque qui visait les portefeuilles de près de 500 utilisateurs. Les pirates derrière celle-ci ont réussi à dérober 18 millions de dollars en Bitcoin et 15 millions de dollars en Ethereum.
Okta. En mars dernier, la société d'authentification a subi une intrusion menée par un groupe de hackers tristement connu sous le nom de Lapsus$. Okta a communiqué cette violation et a déclaré qu'environ 2,5 % de ses clients ont été touchés.
Croix-Rouge. Le Comité international de la Croix-Rouge a signalé une cyberattaque qui visait ses serveurs et qui a permis d'obtenir un accès non autorisé à une grande quantité de données personnelles. Les assaillants ont mis la main sur des informations comme les noms, emplacements et coordonnées de plus de 515 000 personnes.
Quelles sont les causes des violations de données ?
Des mots de passe faibles et des informations d'identification volées. Le procédé le plus simple et le plus courant pour dérober vos données consiste à deviner vos mots de passe.
Des portes dérobées restées ouvertes dans les applications et les logiciels en général. Les applications mal développées peuvent être truffées de failles qui constituent une entrée parfaite pour les pirates. Une fois entrés, ils peuvent s'emparer de vos données.
Les logiciels malveillants. Il s'agit de logiciels téléchargés involontairement par le biais d'e-mails de phishing ou en visitant des sites illégitimes.
Les actions de l'intérieur. Comme dans le cas de Capital One, les employés font partie des principales menaces pour la sécurité des données. Imaginez 50 000 employés avec un accès direct à des millions de détails d'utilisateurs quotidiennement. Un jour ou l'autre, un mauvais élève surgit, et les conséquences pour l'entreprise et ses clients peuvent se révéler catastrophiques.
Que faut-il exiger d'une entreprise qui a fait l'objet d'une violation ?
Si une plateforme ou un service en ligne que vous utilisez fait l'objet d'une violation, vous devez attendre d'eux qu'ils prennent des mesures pour minimiser les risques associés au fait que vos données personnelles tombent entre de mauvaises mains.
Premièrement, la structure affectée doit communiquer les informations relatives à la violation et révéler tous les renseignements utiles : date de la violation, systèmes touchés, utilisateurs affectés et type de données violées.
Vous devez également savoir comment la société concernée gérera la situation. L'une des premières mesures à escompter est le contrôle complet de la violation et le renforcement des mesures de sécurité. Souvent, les organisations victimes publient des déclarations sur les mesures envisagées. Gardez donc un œil sur les communiqués officiels.
Les bonnes nouvelles, à prendre avec précaution
Même si un résultat positif reste rare, il y a toujours un aspect bénéfique. En effet, les violations de données de grande ampleur sensibilisent le public et, si elles sont gérées correctement, permettent d'apporter des changements importants à la législation sur les données. Les entreprises se montreront plus vigilantes et les gens comme vous et moi prendront leur sécurité au sérieux. En conséquence, l'avenir de la cybersécurité se révèle florissant. Avec des offres d'emploi dans le secteur en hausse de 74 % ces cinq dernières années et des dépenses qui devraient atteindre 1 000 milliards de dollars d'ici 2024, il est difficile de ne pas se montrer optimiste.
Des centaines d{link1} et doutils ont été conçus pour vous protéger en ligne, auxquels s'ajoutent des conseils que vous pouvez utiliser en cas de problème. Si vous pensez avoir été victime d'une violation de données, voici ce qu'il faut faire :
Checklist des choses à faire en cas de violation de données
Confirmez la violation. Des sites comme Haveibeenpwned.com vérifient votre adresse e-mail pour savoir si vous avez fait l'objet d'une violation de données. Vous pouvez également appeler ou envoyer un e-mail à l'entreprise concernée pour confirmer l'implication de vos informations.
Découvrez quelles données sont concernées. Si les cartes bancaires et les numéros de comptes volés peuvent être remplacés et modifiés, un nouveau numéro de sécurité sociale est plus difficile à changer. En sachant ce qui a été piraté, vous serez sur la piste du hacker. Par exemple, si les détails de votre carte ont été compromis, vous pouvez déterminer qu'il en va de même pour l'e-mail associé.
Utilisez un générateur de mot de passe pour une sécurité maximale. Les mots de passe aléatoires comme MUK7GDj<Hax~nM8E sont reconnus pour être difficiles à pirater et nécessiteraient des millénaires à ceux qui voudraient essayer.
Utilisez un gestionnaire de mots de passe. Un gestionnaire de mots de passe effectue deux choses essentielles :
Il mémorise tous vos mots de passe à votre place. Ainsi, vous êtes libre de créer des mots de passe longs, complexes et inattaquables par les pirates.
Il conserve vos mots de passe chiffrés dans un endroit séparé. Cela signifie qu'ils ne seront jamais visibles dans votre navigateur, votre appareil ou vos applications.
La sécurisation de vos mots de passe est un moyen simple de renforcer votre sécurité en ligne, car il s'agit souvent du premier angle d'attaque des cybercriminels.
À retenir
La prise en main de votre cybersécurité ne devrait pas être une mission insurmontable. Comme presque tous les domaines de notre vie ont un aspect numérique, n'est-il pas judicieux de songer à notre propre sécurité ? Particulièrement avant qu'il ne soit trop tard.
En réalité, la cybersécurité est souvent reléguée au second plan dans les grandes sociétés débordées. Quand une violation de données se produit, le plan d'action habituel consiste à redonner confiance aux utilisateurs et à déterminer la cause de celle-ci. Parfois, la violation n'est même pas détectée ou signalée avant plusieurs mois.
C'est regrettable, car c'est souvent à l'utilisateur de réparer les dégâts. Voilà pourquoi il est impératif de sécuriser vos mots de passe. Bien que de nouvelles technologies de chiffrement plus puissantes fassent surface, ne croyez pas que tout le monde se soucie de votre sécurité autant que vous. En définitive, vous détenez le pouvoir ultime sur votre sécurité en ligne, et nous existons simplement pour vous aider à y parvenir. C'est pourquoi nous avons créé NordPass. Il s'agit d'un gestionnaire de mots de passe simple et pratique qui remet la sécurité en ligne entre les mains des utilisateurs ordinaires.