Les 13 plus grandes violations de données du 21ème siècle
Les violations de données ou Data Breach affectent des millions d’utilisateurs fréquemment. En France, la brèche de Dailymotion a révélé 85 millions d’identités, ce qui fait de la France la 2ème pire nation après les Etats-Unis en ce qui concerne les brèches.
Définition
De nos jours, ces histoires de violations massives de données apparaissent fréquemment dans les médias. Mais cela ne devrait pas nous surprendre : avec les progrès technologiques, de plus en plus d’informations sont transférées dans le monde numérique.
En conséquence, les cyberattaques sont devenues de plus en plus fréquentes et coûteuses. Si vous voulez visualiser le nombre impressionnant de Data Breach dans le monde depuis l’émergence d’internet, je vous conseille de jeter un oeil à ce graphique.
Dans notre article, nous allons présenter quelques-unes des Data Breach récentes les plus importantes et les plus graves.
La banalisation inquiétante des violations de données
Il n’y a pas si longtemps, une brèche qui aurait compromis les données de quelques millions de personnes aurait fait la une des journaux. Aujourd’hui, des violations qui touchent des centaines de millions, voire des milliards de personnes, sont devenues fréquentes. Environ 3 milliards de personnes ont vu leurs données personnelles volées dans les premières des 13 plus grandes violations de ce siècle.
Le plus petit incident de cette liste concerne les données de 134 millions de personnes !
Cette liste des plus grandes Data Breach du 21e siècle a été dressée en utilisant un critère simple : Le nombre de personnes dont les données ont été compromises.
Elle explique si ces incidents sont dûs à un pillage malveillant ou à une erreur dans le système de sécurité du système, laissant des données non protégées et exposées. Twitter, par exemple, a laissé les mots de passe de ses 330 millions d’utilisateurs démasqués dans un journal, mais il n’y a eu aucune preuve d’une utilisation abusive. Twitter ne fait donc pas partie de cette liste.
Sans plus attendre, voici les 13 plus grandes violations de données de l’histoire récente, y compris les personnes touchées, les responsables et la réaction des entreprises.
Adult Friend Finder
Date : Octobre 2016
Impact : 412,2 millions de comptes
Cette violation a été particulièrement sensible pour les titulaires en raison des services offerts par le site. Le réseau FriendFinder comprend des sites de rencontres occasionnelles et du contenu pour adultes comme Adult Friend Finder, Penthouse.com, Cams.com, iCams.com et Stripshow.com. Le réseau entier a été violé à la mi-octobre 2016. Les données s’étendaient sur 20 ans et concernaient six bases de données, avec des noms, des adresses électroniques et des mots de passe.
Le faible algorithme de hachage SHA-1 a mal protégé les mots de passe. On estime que 99 % d’entre eux avaient été craqués au moment où LeakedSource.com a publié son analyse de l’ensemble des données, le 14 novembre 2016.
Zynga
Date : Septembre 2019
Impact : 218 millions de comptes d’utilisateurs
Autrefois géant de la scène des jeux sur Facebook, Zynga, le créateur de Farmville, est toujours l’un des plus grands dans le monde du jeu mobile avec des millions d’utilisateurs dans le monde entier.
En septembre 2019, un groupe de hackers pakistanais du nom de GnosticPlayers a affirmé avoir piraté la base de données de Zynga relative aux joueurs de « Mots Entre Amis » et « Draw Something ». Ils ont ainsi accédé aux 218 millions de comptes qui y sont enregistrés.
Zynga a confirmé par la suite que des adresses email, des mots de passe hachés, des numéros de téléphone et des identifiants d’utilisateurs pour les comptes Facebook et Zynga ont été volés.
Il faut mentionner que GnosticPlayers est un groupe de pirates informatiques qui s’est fait remarquer en 2019 pour avoir piraté Zynga, Canva, et plusieurs autres services en ligne. Il a même revendiqué la responsabilité du piratage d’autres entreprises en ligne et du vol de centaines de millions d’identifiants dans des bases de données web telles que MyFitnessPal ou Dubsmash. Il revend ensuite ces identifiants sur le Dark Web.
Yahoo
Date : Décembre 2013
Impact : 3 milliards de comptes d’utilisateurs
Yahoo a annoncé en septembre 2016 qu’il a été victime en 2014 de ce qui serait la plus grande violation de données de l’histoire. Les attaquants, que la société considérait comme des « acteurs sponsorisés par l’État », ont compromis les vrais noms, adresses email, dates de naissance et numéros de téléphone de 500 millions d’utilisateurs. Yahoo a affirmé que la plupart des mots de passe compromis ont été hachés.
En décembre 2016, Yahoo a révélé une autre violation, datant de 2013, par un autre agresseur qui a compromis les noms, dates de naissance, adresses électroniques et mots de passe, ainsi que les questions et réponses de sécurité d’un milliard de comptes d’utilisateurs. Yahoo a révisé cette estimation en octobre 2017 pour inclure l’ensemble de ses 3 milliards de comptes utilisateurs.
Le moment de l’annonce de la brèche initiale était mal choisi, car Yahoo était en cours de rachat par Verizon, qui a finalement payé 4,48 milliards de dollars pour les activités internet de base de Yahoo. Les violations ont fait chuter la valeur de la société d’environ 350 millions de dollars.
NetEase
Date : Octobre 2015
Impact : 235 millions de comptes d’utilisateurs
NetEase est un fournisseur de services en ligne diversifié (https://fr.wikipedia.org/wiki/NetEase). Les adresses électroniques et les mots de passe en texte clair de 235 millions de leurs clients ont été vendus sur le Dark Web par un hacker connu sous le nom de DoubleFlag. Ce même vendeur vendait également des informations provenant d’autres géants chinois tels que Tencent’s QQ.com, Sina Corporation et Sohu, Inc. NetEase a toujours cette violation.
MySpace
Date : 2013
Impact : 360 millions de comptes d’utilisateurs
Bien qu’il ait cessé d’être le centre névralgique qu’il était, le réseau social MySpace a fait la une des journaux en 2016 après que 360 millions de comptes d’utilisateurs aient été divulgués sur LeakedSource, une base de données de comptes volés. Ces identifiants étaient mis en vente sur le marché The Real Deal disponible sur le Dark Web, pour un prix demandé de 6 bitcoin (3 000 €).
Les données perdues comprenaient des adresses email, des mots de passe et des noms d’utilisateur créés avant le 11 juin 2013 sur l’ancienne plateforme Myspace. Les mots de passe étaient stockés sous forme hachée SHA-1 pour leurs 10 premiers caractères.
Adobe
Date : Octobre 2013
Impact : 153 millions d’enregistrements d’utilisateurs
Comme rapporté début octobre 2013 par le blogueur Brian Krebs, Adobe a initialement déclaré que des pirates informatiques avaient volé 3 millions d’enregistrements chiffrés de cartes de crédit, ainsi que les données de connexion d’un nombre indéterminé de comptes.
Plus tard dans le mois, Adobe a augmenté cette estimation pour inclure les identifiants et les mots de passe chiffrés de 38 millions d’utilisateurs actifs. Krebs a rapporté qu’un fichier posté quelques jours plus tôt semble inclure plus de 150 millions de paires de noms d’utilisateur et de mots de passe hachés provenant d’Adobe.
Des semaines de recherche ont montré que le piratage avait également exposé les noms des clients, leurs pièces d’identité, leurs mots de passe et les informations relatives à leur carte bancaire.
Un accord conclu en août 2015 prévoyait qu’Adobe paie 1,1 million de dollars de frais juridiques et un montant non divulgué aux utilisateurs pour régler les plaintes pour pratiques commerciales déloyales. En novembre 2016, le montant payé aux clients a été déclaré à 1 million de dollars.
My Fitness Pal
Date : Février 2018
Impact : 150 millions de comptes d’utilisateurs
En plus de Dubsmash, l’application de fitness MyFitnessPal appartenait à UnderArmor. 16 de ses sites ont été compromis, laissant fuiter 617 millions de comptes mis en vente sur Dream Market.
En février 2018, les noms d’utilisateur, adresses électroniques, adresses IP et mots de passe SHA-1 d’environ 150 millions de clients ont été volés puis mis en vente un an plus tard, au même moment que Dubsmash. MyFitnessPal a reconnu la brèche et a exigé des clients qu’ils changent leurs mots de passe, mais n’a pas précisé combien de comptes avaient été concernés ni comment les attaquants ont procédé.
Marriott International
Date : 2014
Améliorez votre anonymat en ligne
Pensez à l'utilisation d'un VPN : une application VPN va changer votre adresse IP pour simuler celle de n'importe quel pays. Vous pourrez accéder à n'importe quel contenu, même celui qui est géo-restreint. Ce logiciel chiffre aussi votre trafic internet pour éliminer les malwares et les risques de piratage. Pensez à utiliser un gestionnaire de mots de passeImpact : 500 millions de clients
Marriott International a annoncé en novembre 2018 que des attaquants avaient volé environ 500 millions de données clients. La data breach s’est d’abord produite sur les machines de la marque d’hôtels Starwood à partir de 2014. Les attaquants sont restés discrètement dans le système après que Marriott ait acquis Starwood en 2016. Ils n’ont été découverts qu’en septembre 2018.
Les attaquants ont pu prendre une combinaison d’informations de contact, de numéro de passeport, de numéros Starwood Preferred Guest, d’informations de voyage et d’autres informations personnelles. Les numéros de cartes de crédit et les dates d’expiration de plus de 100 millions de clients auraient été volés, mais l’hôtel Marriott n’est pas certain que les attaquants aient pu décrypter les numéros de cartes de crédit. Selon un article du New York Times, la brèche aurait été attribuée à un groupe de renseignements chinois qui cherche à rassembler des données sur les citoyens américains.
Voir en détail notre article sur le Marriott
Date : 2012 et 2016
Impact : 165 millions de comptes d’utilisateurs
Détails : En tant que principal réseau social pour les professionnels, LinkedIn est devenu une proposition attrayante pour les attaquants qui cherchent à mener des attaques d’ingénierie sociale. LinkedIn a souvent été victime de fuites de données dans le passé.
En 2012, la société a annoncé que 6,5 millions de mots de passe non associés (hachage SHA-1) ont été volés par des attaquants et postés sur un forum de pirates informatiques russes. L’ampleur de l’incident n’a été révélée qu’en 2016 ! Le même hacker qui vendait les données de MySpace offrait les adresses email et les mots de passe d’environ 165 millions d’utilisateurs de LinkedIn pour seulement 5 bitcoins (environ 2000 €). LinkedIn a reconnu qu’il avait été mis au courant de la brèche et a déclaré qu’il avait réinitialisé les mots de passe des comptes concernés.
Comment se conformer au GDPR dans la notification des brèches de données ?
Dubsmash
Date : Décembre 2018
Impact : 162 millions de comptes d’utilisateurs
En décembre 2018, le service de messagerie vidéo Dubsmash, basé à New York, avouait qu’on lui avait volé 162 millions d’adresses électroniques, noms d’utilisateur, hachages de mots de passe PBKDF2 et autres données personnelles telles que les dates de naissance. Tout était mis en vente sur le marché Dream Market (Dark Web) au mois de décembre 2018.
Ces informations étaient vendues dans le cadre d’une collecte de données comprenant également des applications telles que MyFitnessPal, MyHeritage (92 millions de data volées), ShareThis, Armor Games et l’application de rencontre CoffeeMeetsBagel.
Dubsmash n’a jamais dit comment les attaquants avaient pu entrer sur leur site.
Equifax
Date : 29 juillet 2017
Impact : 147,9 millions de consommateurs
Equifax, l’une des plus grandes agences de crédit des États-Unis, a avoué le 7 septembre 2017 qu’une vulnérabilité d’application dans l’un de ses sites a conduit à une violation de données exposant 148 millions de consommateurs. La brèche a été découverte le 29 juillet, mais la société pense qu’elle a commencé à la mi-mai. La brèche a compromis des numéros de sécurité sociale, des dates de naissance, des adresses, des numéros de permis de conduire et les données de cartes de crédit.
Equifax a été mise en cause pour un certain nombre de défaillances en matière de sécurité et d’intervention. La principale d’entre elles est que la vulnérabilité de l’application n’a pas été corrigée. Une segmentation inadéquate du système a facilité les mouvements latéraux des attaquants. Equifax a également été lent à signaler la faille.
eBay
Date : Mai 2014
Impact : 145 millions d’utilisateurs
eBay a laissé échapper la liste complète de ses 145 millions d’utilisateurs en mai 2014 :
- noms,
- adresses,
- dates de naissance
- mots de passe chiffrés
Le géant des enchères en ligne a déclaré que les pirates avaient utilisé les références de trois employés de l’entreprise pour accéder au réseau et qu’ils ont bénéficié d’un accès complet pendant 229 jours – plus qu’assez pour compromettre la base de données des utilisateurs.
L’entreprise a demandé à ses clients de changer leurs mots de passe. Les informations financières, telles que les numéros de carte de crédit, étaient stockées séparément et n’étaient pas compromises. La société a été critiquée à l’époque pour son manque de communication avec ses utilisateurs et la mauvaise mise en œuvre du processus de renouvellement des mots de passe.
Septembre 2019
419 millions d’utilisateurs
Dans une brèche impressionnante, les données de 419 millions d’utilisateurs de Facebook ont été découvertes sur un serveur exposé. Si cela vous semble familier, c’est parce que cela s’était également produit en avril 2019. Chaque enregistrement contenait l’identifiant Facebook unique des utilisateurs et le numéro de téléphone figurant sur le compte. Dans certains cas, les noms complets, le sexe et le lieu de résidence des utilisateurs étaient également indiqués.
Le serveur en cause n’appartenait pas à Facebook : seul un employé (ou un pirate informatique motivé) aurait pu avoir ce niveau d’accès. A ce jour aucune répercussion ne semble être à déplorer.
Décembre 2019
309 millions d’utilisateurs
Facebook a terminé l’année 2019 en beauté lorsqu’une autre base de données a été exposée. Plus de 300 millions de numéros de téléphone, noms et identifiants d’utilisateurs de Facebook ont été dévoilés sans protection sur le Dark Web pendant près de deux semaines. L’expert en sécurité Bob Diachenko, qui a découvert la brèche, a indiqué qu’elle était le résultat d’un abus de l’API Facebook par des pirates informatiques au Vietnam.
Le nombre de personnes touchées était estimé à 267 millions à l’origine. Mais en mars 2020, il a été découvert qu’un second serveur contenant 42 millions d’enregistrements supplémentaires a été exposé par le même groupe criminel, ce qui porte le total à 309 millions. Une fois de plus, on ignore si quelqu’un a été touché par la brèche, mais les utilisateurs ont été exposés à des attaques de spam et d’hameçonnage.
Pourquoi les Data Breach se produisent-elles ?
La cybercriminalité est une industrie rentable pour les attaquants. Les pirates cherchent des informations personnelles pour :
- voler de l’argent,
- compromettre des identités,
- vendre sur le Dark Net.
Les Data Breach peuvent se produire pour un certain nombre de raisons, y compris accidentellement, mais les attaques ciblées sont généralement menées de 5 manières différentes.
5 moyens utilisés par les Data Breach
- Exploitation des vulnérabilités du système : un logiciel obsolète peut créer une faille qui permet à un attaquant de faire passer discrètement un logiciel malveillant.
- Mots de passe faibles : les mots de passe faibles sont plus faciles à deviner pour les pirates.
- Téléchargements : vous pouvez télécharger involontairement un virus ou un logiciel malveillant en visitant simplement une page web compromise. Un téléchargement « drive-by » tire généralement parti d’un navigateur, d’une application ou d’un système d’exploitation obsolète présentant une faille de sécurité.
- Attaques ciblées de logiciels malveillants : les attaquants utilisent des tactiques de spam et de phishing pour tenter de tromper l’utilisateur et lui faire révéler ses identifiants.
- Le courrier électronique : c’est un moyen courant pour les logiciels malveillants de se retrouver sur votre ordinateur. Évitez d’ouvrir les liens ou les pièces jointes d’un courriel provenant d’une source inconnue.
Comment protéger mes données contre les brèches et les fuites ?
- Sécurisez votre téléphone : Android permet de chiffrer le contenu de votre téléphone, les iPhone le font déjà par défaut.
- N’utilisez que des URL sécurisées : Ce plugin, installé dans votre navigateur, vous permettra de naviguer toujours sur les versions HTTPS des sites interrnet (versions sécurisées).
- Empêchez votre navigateur de charger les publicités et les scripts malveillants. Nous vous conseillons l’extension Ublock Origin pour bloquer les pisteurs.
- Naviguez via un VPN : il suffit de le lancer pour chiffrer tous vos échanges sur internet et, au passage, maquiller votre adresse IP ! NordVPN est le plus sûr pour ça.
- Sauvegardez vos fichiers et assurez-vous de leur sécurité. NordLocker est un tout nouvel utilitaire qui vous permet de stocker vos fichiers dans des dossiers chiffrés sur votre ordinateur, puis de les partager de manière tout aussi sécurisée.
- Formatez votre disque dur ou broyez-le si vous devez sous séparer de votre machine. Ayez ce même réflexe quand vous changez de smartphone.
- Évitez d’être trop bavard sur les réseaux sociaux. Ne publiez jamais d’information sensible et réglez vos paramètres pour favoriser votre vie privée.
- Utilisez un gestionnaire de mots de passe pour générer des mots de passe uniques et forts, puis les remplir à votre place rapidement (NordPass est un excellent choix).
- Surveillez vos comptes bancaires manuellement en vous rendant sur le site officiel et en évitant les tentatives d’hameçonnage.
Pour aller plus loin
- Le site ‘;–have i been pwned? : Vérifiez si votre compte a été compromis à la suite d’une violation de données
- Pornhub est-il sûr ? Comment naviguer en sécurité sur les sites internet pour adultes
- Hameçonnage : définition et suppression de cette cyberattaque
Visitor Rating: 5 Stars