Selon un nouveau rapport de Risk Based Security, 2019 est sur le point de connaître une nouvelle année record en matière de violations de données. Le rapport assure que les tendances en matière de violations de données observées au premier trimestre se sont maintenues et sont restées fortes alors que nous traversions le milieu de l'année. Le taux de divulgation des violations signalées publiquement a poursuivi son rythme effréné, passant à plus de 3 800 violations au cours des six premiers mois. Cela représente une augmentation de 50% ou plus au cours de chacune des quatre années précédentes, ce qui emmène à se demander pourquoi cette recrudescence.
L'intérêt pour les informations d'identification de l'utilisateur est la clé. Des combinaisons de noms d'utilisateur et de mots de passe continuent à être disponibles sur les forums et les sites de partage de fichiers, tandis que le phishing des identifiants d'accès (une méthode de plus en plus utilisée pour accéder aux systèmes et aux services) a fait un bond en avant ces derniers mois, prouvant une fois de plus que de véritables techniques d'ingénierie sociale éprouvées produisent toujours des résultats pour les attaquants.
La fuite de données sur Bodybuilding.com est un excellent exemple de cette tendance. En juillet dernier, des acteurs malveillants ont pu accéder aux systèmes de la société grâce à un courrier électronique de phishing réussi. Les pirates ont pu se déplacer dans le système pendant environ huit mois, ayant accès à des données allant des noms et adresses des clients aux détails du profil et à l’historique des commandes.
Des incidents tels que la violation de Bodybuilding.com expliquent également la croissance du type de données divers. Bien qu'elles ne soient pas aussi sensibles que les informations bancaires ou les numéros de sécurité sociale, les données peuvent être particulièrement utiles pour créer des campagnes de phishing ciblées, à tel point que les organisations commencent à avertir les utilisateurs du risque. Bodybuilding.com a fait exactement cela, en déclarant ceci dans la FAQ à ses clients :
« Veuillez noter que l'e-mail de Bodybuilding.com ne vous demande pas de cliquer sur des liens, ne contient pas de pièces jointes et ne demande pas vos données personnelles. Si l'e-mail que vous avez reçu vous invite à cliquer sur un lien, vous suggère de télécharger une pièce jointe ou vous demande des informations, l'e-mail n'a pas été envoyé par Bodybuilding.com et peut constituer une tentative de vol de vos données personnelles ».
Malgré l'essor de l'ingénierie sociale, le hacking reste le type de violation numéro un. Son importance peut être liée au nombre croissant de vulnérabilités signalées dans le paysage de la cybersécurité.
Entre 2015 et 2018, la variation du nombre d'infractions signalées était inférieure à 200 incidents. Pour les six premiers mois de 2019, le nombre d'infractions a augmenté de 54% par rapport à la même période l'an dernier. La raison? Plus de 1 300 fuites de données, exposant principalement des adresses électroniques et des mots de passe, ont été documentées au cours du premier semestre de 2019. Bien qu'il s'agisse d'événements relativement petits, avec une moyenne de moins de 230 enregistrements exposés par incident, ces fuites ont considérablement contribué au nombre d'informations d'identification d'accès. disponible gratuitement sur Internet.
Les tactiques, techniques et procédures évoluent avec le temps, mais les résultats finaux sont restés cohérents. L'accès non autorisé à des systèmes ou à des services (piratage), le skimming (activité frauduleuse qui consiste à pirater des cartes bancaires, notamment depuis les distributeurs de billets) et l'exposition de données sensibles sur Internet (le Web) sont les trois principaux types d'infractions depuis janvier 2018. De la même manière, les actions d'initiés, malveillantes ou accidentelles, ont entraîné le nombre d'enregistrements exposés, le Web et la fraude représentant plus de 6,7 milliards d’enregistrements exposés au cours des 18 derniers mois
« Au cours des six premiers mois de 2019, il est difficile d'être optimiste quant aux perspectives de l'année », a déclaré Inga Goddijn, vice-présidente exécutive de Risk Based Security. « Le nombre de violations est en hausse et le nombre d'enregistrements exposés reste obstinément élevé. Malgré les efforts et la sensibilisation des dirigeants d'entreprises et des défenseurs, les violations de données continuent de se produire à un rythme alarmant ».
L'accès non autorisé à des systèmes ou à des services reste le type d'infraction numéro un, le phishing constituant la première étape commune pour accéder aux systèmes et aux services. Il est intéressant de noter que le phishing des identifiants conduit souvent à fournir aux pirates un accès aux comptes de messagerie des utilisateurs. Bien que les données conservées dans les courriers électroniques ne soient pas aussi facilement monétisées que certaines, elles entraînent l’exposition de types de données inhabituels ou inattendus. Parmi les éléments de données moins courants exposés cette année, figurent les signatures électroniques, les calendriers, les certificats de mariage et les numéros d’identification des employés de la société.
Goddijn conclut en disant que « Même si le paysage est sombre, nous avons vu des points lumineux cette année. Certaines organisations choisissent de signaler des incidents qui n'auraient peut-être pas été signalés dans le passé. L'exemple le plus récent l'a été il y a quelques jours à peine, lorsque Monzo Bank a décidé de signaler que les codes PIN de ses clients étaient stockés par inadvertance dans des journaux internes accessibles à leurs équipes d'ingénierie, une fois le problème identifié, il a été corrigé et divulgué dans les 5 jours. Une brèche est rarement une bonne nouvelle, mais une réponse rapide associée à une communication ouverte en dit long sur l'organisation. Nous espérons voir plus d'organisations suivre l'exemple de Monzo au cours de l'année ».
Source : Risk Based Security
Plus de 3 800 violations de données signalées au premier semestre 2019
Le hacking reste le type de violation numéro un
Plus de 3 800 violations de données signalées au premier semestre 2019
Le hacking reste le type de violation numéro un
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !