Comme pour empirer les choses, le nombre total de violations a augmenté de 33% par rapport à l'année dernière, selon les recherches de Risk Based Security, les services médicaux, les détaillants et les entités publiques étant les plus touchés. C'est une énorme somme de 5183 violations de données pour un total de 7,9 milliards d'enregistrements exposés. En novembre, le spécialiste a qualifié 2019 de « pire année jamais enregistrée » pour les infractions.
Combien coûte une violation de données moyenne à une organisation ? Selon les derniers chiffres d'IBM, le coût total moyen pour les entreprises était de 3,92 millions de dollars réparti notamment sur les enquêtes, le contrôle des dommages, les réparations, les honoraires d'avocats, les amendes, les dommages et intérêts. C'est une augmentation de 12 % sur cinq ans qui ne laisse percevoir aucun signe de ralentissement.
Ce qui est plus difficile à quantifier, c'est à quel point un coût a été supporté par les consommateurs individuels dans le monde cette année. Numéros de passeport, dossiers médicaux, coordonnées bancaires, informations d'identification sur les réseaux sociaux, numéro de sécurité sociale, les violations ont frappé les données les plus sensibles en 2019. Voici quelques-unes des violations de données qui ont eu lieu au courant de l'année.
Janvier
Marriott a donné le coup d'envoi en 2019 avec une violation de données lorsque le groupe hôtelier a annoncé que des pirates avaient accédé aux dossiers, y compris certains numéros de passeport et informations de carte de crédit, de plus de 383 millions de clients. S'il fallait faire une comparaison, cette violation de données concerne plus du double des 143 millions d'Américains concernés dans le piratage d'Equifax en 2017, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l'une des trois plus grandes agences de crédit américaines avec Experian et TransUnion). De plus, Troy Hunt a trouvé 773 millions d'adresses e-mail d'utilisateurs (ainsi qu'une multitude d'autres données) dans une collection de fichiers de service cloud.
Février
Février a été un mois brutal pour la sécurité en ligne. L'une des violations qui a marqué ce mois concernait plus de 617 millions de comptes récupérés de 16 sites Web et mis en vente sur le dark web. Les propriétaires de sites Dubsmash, Armor Games, 500px, Whitepages et ShareThis ont tous vu les données volées de leurs utilisateurs vendues pour moins de 20 000 $ en bitcoins. Pendant ce temps, une série de petites violations a rappelé que les piratages n'excluent pas le secteur médical : un attaquant a détenu jusqu'à 15 000 dossiers de patients australiens en échange d'une rançon, un accès non autorisé au courrier électronique a révélé 326 000 dossiers de patients du Connecticut, près d'un million d'informations de patients de Washington ont été exposées dans une base de données ouverte et 2,7 millions d'appels vers une ligne de santé nationale suédoise ont été enregistrés et laissés accessibles au public.
Mars
Des centaines de millions d'utilisateurs de Facebook et Instagram ont vu leurs informations d'identification révélées suite à une mauvaise gestion du stockage des mots de passe de la société de médias sociaux.
Avril
Facebook a de nouveau ouvert la voie en avril, avec 540 millions d'enregistrements exposés après avoir laissé les noms, identifiants et mots de passe des utilisateurs à découvert sur des serveurs non protégés. Le même mois, Facebook a admis avoir stocké des millions de mots de passe d'utilisateurs Instagram en clair. Ce même mois, 12,5 millions de dossiers médicaux de femmes enceintes ont été révélés. Ils étaient accessibles au public depuis un serveur appartenant à une agence de santé du gouvernement indien.
Mai
Bien sûr, le gros titre de mai était la centaine de millions de documents d'assurance divulgués par le géant immobilier First American Financial Corp. Il y a également eu Burger King dont une base de données était accessible au public, entraînant l'exposition de près de 40 000 clients de sa boutique en ligne KoolKing dédiée aux enfants. Une histoire qui a également fait couler de l'encre est celle de deux entreprises dont l'activité consistait à faire des déjeuners pour des écoles de la région de la baie de San Francisco et qui s'est transformée en cyberguerre ; l'un des directeurs financiers a été arrêté pour avoir piraté le site de l'autre et divulgué des données sur les élèves.
Juin
Au moins 20 millions de patients ont vu leurs données révélées lorsque le collecteur de factures American Medical Collection Association a été piraté. Les dégâts ? De multiples recours collectifs ont été intentés contre l'AMCA et ses clients contractuels pour violation des données de paiement des patients, des numéros de sécurité sociale, des informations médicales, des dates de naissance, des numéros de téléphone, des adresses, etc. Le résultat? Les collecteurs de dettes médicales étaient tellement endettés qu'ils ont déposé le bilan.
Juillet
Capital One a annoncé que des données personnelles de 106 millions de ses clients ont été volées. L'institution bancaire a déclaré :
« les informations sur les consommateurs et les petites entreprises constituaient la plus grande catégorie d'informations consultées au moment où ils ont demandé l'un de nos produits pour cartes de crédit de 2005 à début 2019. Ces informations comprenaient les informations personnelles que Capital One recueille régulièrement au moment de la réception des demandes de carte de crédit, y compris les noms, adresses, codes postaux, codes téléphoniques, numéros de téléphone, adresses électroniques, dates de naissance et revenus déclarés. Outre les données de demande de carte de crédit, la personne a également obtenu des portions de données de client de carte de crédit, notamment:
- les données sur le statut du client, par exemple notes de crédit, limites de crédit, soldes, historique des paiements, informations de contact
- des fragments de données de transaction d'un total de 23 jours en 2016, 2017 et 2018.
« Aucun numéro de compte bancaire ou de sécurité sociale n'a été compromis, à l'exception :
- d’environ 140 000 numéros de sécurité sociale de nos clients émetteurs de cartes de crédit
- d’environ 80 000 numéros de compte bancaire lié de nos clients avec cartes de crédit sécurisées.
« Pour nos clients canadiens titulaires de cartes de crédit, environ un million de numéros d’assurance sociale ont été compromis lors de cet incident ».
La faille par lequel s'est introduit le hacker a conduit à l'arrestation par le FBI de Paige A. Thompson, un technicien devenu pirate informatique. Notons que la violation s'est produite le même mois qu'Equifax a déboursé 700 millions de dollars qui ont été versés aux régulateurs suite à la violation de données dont il avait été l'objet en 2017. Le même mois, la FTC a infligé une amende record de 5 milliards de dollars à Facebook après le scandale de Cambridge Analytica. Le réseau social a accepté de les verser.
Août
Au-delà des billets à prix élevé et des clients qui s'abonnent automatiquement, les utilisateurs de MoviePass ont eu plus de mauvaises nouvelles en août lorsqu'une enquête a découvert que 160 millions d'enregistrements MoviePass étaient laissés non chiffrés dans une base de données de l'entreprise sans protection par mot de passe, laissant les données de carte de crédit des clients accessibles au public. Pendant ce temps, au Royaume-Uni, une fuite massive a révélé 27,8 millions de dossiers biométriques du personnel détenus par la police métropolitaine, les banques et les entreprises.
Septembre
Plus de 218 millions de comptes de joueurs World with Friends (un jeu de lettres en réseau de type scrabble, à deux joueurs, conçu par la société de développement Zynga with Friend) ont été touchés, laissant filtrer des informations comme les adresses mail, les noms, les identifiants de connexion des joueurs et plus encore, lorsqu'un pirate informatique est entré dans l'une des bases de données de jeux et a ciblé les utilisateurs qui avaient installé l'application de jeu avant une mise à jour cruciale. Alors que les personnes touchées étaient moins nombreuses, une violation potentiellement plus dangereuse s'est produite en septembre lorsqu'une base de données gouvernementale ouverte et mal configurée a divulgué 20,8 millions de dossiers d'utilisateurs équatoriens, dans un pays dont la population officielle est d'environ 17,3 millions, laissant filtrer entre autres des données de naissance, l'état matrimonial et les numéros de CNI ainsi que les adresses complètes des domiciles, les informations sur les enfants, les numéros de téléphone et les dossiers scolaires.
Octobre
Un record de 4 milliards d'enregistrements de profils de médias sociaux ont été exposés au public sur un serveur Elasticsearch non sécurisé, pour un total époustouflant de 1,2 milliard de personnes uniques exposées provenant de deux sociétés d'enrichissement de données. C'est l'une des plus grandes expositions à source unique que nous ayons jamais vues. Adobe a laissé 7,5 millions de dossiers clients Creative Cloud sur une base de données non sécurisée. Pendant ce temps, dans la mère patrie, plus de 20 millions de dossiers fiscaux de citoyens russes ont été laissés sur une base de données ouverte au public, laissant à quiconque la possibilité de voir des informations collectées de 2009 à 2016.
Novembre
Dans la liste des fuites, des piratages, des brèches et des expositions de novembre, quelques incidents se distinguent. Facebook a fait la une des journaux après qu'une centaine de développeurs d'applications se sont vu accorder un accès inapproprié aux données de profil des utilisateurs du réseau social. Une brèche précédente a été révélée ce mois-ci, détaillant le compte d'un employé de la firme de cybersécurité Trend Micro, qui a volé les données personnelles d'environ 70 000 clients de la firme et les a ensuite utilisées pour escroquer des clients.
Décembre
Une centaine de femmes a été victimes d'une fuite explicite de photos. Le coupable était un ancien politicien néerlandais qui s'est servi d'informations d'identifications issues de violation de données précédentes qui ont été portées à la connaissance du public. Les procureurs ont demandé au juge de prononcer au moins trois ans d'emprisonnement. Ce même mois, le plus grand fournisseur de services de tests de laboratoire spécialisés au Canada a déclaré avoir versé à des hackers un montant non divulgué pour qu'ils leur retournent des données personnelles qu'ils ont volées et qui appartenaient à pas moins de 15 millions de clients. Les informations volées comprenaient les noms, adresses, adresses mail, identifiants et mots de passe des clients, numéros de carte de Santé et numéro des tests de laboratoire.
Dans un communiqué, Charles Brown, son chef de direction a déclaré que l'entreprise a pris plusieurs mesures pour protéger les informations clients parmi lesquelles :
- engager immédiatement les services d'experts en cybersécurité de renommée mondiale pour isoler et sécuriser les systèmes affectés et déterminer la portée de l'attaque ;
- renforcer davantage leurs systèmes pour empêcher de futurs incidents;
- récupérer des données en effectuant un paiement. Charles Brown indique que l'entreprise l'a fait en collaboration avec des experts familiarisés avec les cyberattaques et les négociations avec les cybercriminels ;
- collaborer avec les forces de l'ordre, qui enquêtent actuellement sur la question ;
- offrir à ses clients des services de protection de la cybersécurité, tels que l'assurance contre le vol d'identité et la protection contre la fraude.
Sources : Risk Based Security, IBM, Troy Hunt, Data Breaches, Université de Washington, Portswigger, San Francisco Chronicles,
Et vous ?
Quelles ont été les violations de données en 2019 que vous considérez comme étant les pires ?
Sur quel critère vous appuyez-vous (caractère sensible des données, nombre de comptes touchés, nombre de clients affectés, etc.) ?
Voir aussi :
Wyze, une startup de caméra de sécurité, a divulgué des données sur des millions de clients, dont les adresses électroniques, les informations SSID et les jetons API
La violation d'une licence de logiciel est bien un délit de contrefaçon et ne relève donc pas du régime de la responsabilité contractuelle, a déclaré la CJUE (Cour de justice de l'Union européenne)
Des hackers volent des données médicales de 15 millions de patients, puis les revendent au laboratoire qui les détenait
Google a congédié 4 employés actifs dans l'organisation du travail pour violations de ses politiques de sécurité des données, mais ces derniers brandissent un autre motif
Piratage du réseau d'une centrale nucléaire indienne : quelles leçons pouvons nous en tirer ? Quelques pistes de réflexion