Qu’est-ce qu’une violation des données ?

Les violations de données entraînent la divulgation d'informations sensibles. De nombreux types d'attaques en ligne ont pour principal objectif de provoquer une violation des données afin de divulguer des informations telles que des identifiants de connexion et des informations bancaires privées.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Donner la définition d'une violation de données
  • Donner plusieurs exemples de violations de données
  • Étudier des stratégies visant à atténuer les violations de données

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu’est ce qu’une violation des données ?

On parle de violation ds données lorsque des informations confidentielles, privées ou de nature sensible sont divulguées dans un environnement non sécurisé. Une violation des données peut se produire accidentellement ou résulter d'une attaque délibérée.

Chaque année, des millions de personnes sont touchées par des violations de données, dont l'ampleur peut aller d'un médecin consultant accidentellement le mauvais dossier d'un patient à une tentative à grande échelle d'accéder à des ordinateurs gouvernementaux pour découvrir des informations sensibles.

Violation des données

Les violations de données constituent l'une des principales menaces en matière de cybersécurité, car des données sensibles circulent en permanence sur Internet. Ce transfert constant d'informations permet aux pirates, où qu'ils se trouvent, de voler les données de pratiquement toutes les personnes ou entreprises de leur choix.

Les données sont également stockées sous forme numérique par les entreprises du monde entier. Les serveurs qui stockent les données sont souvent vulnérables à diverses formes de cyberattaques.

Qui est généralement visé par les violations de données ?

Les grandes entreprises sont des cibles de choix pour les pirates qui tentent de s'approprier des données confidentielles, car leur volume est souvent très conséquent. Il peut s'agir des données personnelles et/ou des coordonnées bancaires de millions d'utilisateurs, par exemple des identifiants de connexion et des numéros de carte bancaire. Toutes ces données peuvent être revendues sur le marché noir.

Cependant, les attaquants ciblent toute personne dont ils peuvent extraire des données. Toutes les données personnelles ou confidentielles sont précieuses pour les cybercriminels, en général, quelqu'un dans le monde est prêt à payer pour les obtenir.

Quelles sont les principales façons dont une violation de données peut se produire ?

  • Perte ou vol d'identifiants - La manière la plus simple d'accéder à des données confidentielles en ligne consiste à utiliser les identifiants de connexion d'une autre personne pour se connecter à un service. Pour cela, les pirates emploient toute une série de stratégies visant à obtenir les identifiants et les mots de passe des utilisateurs. . Pour cela, les pirates emploient toute une série de stratégies visant à obtenir les identifiants et les mots de passe des utilisateurs. Parmi elles, citons les attaques par force brute et les attaques de parcours.
  • Matériel perdu ou volé - Un ordinateur ou un smartphone perdu qui contient des informations confidentielles peut être très dangereux s'il tombe entre de mauvaises mains.
  • Attaques par ingénierie sociale - L'ingénierie sociale consiste à utiliser la manipulation psychologique pour inciter les gens à divulguer des informations sensibles. Par exemple, un pirate peut se faire passer pour un agent du Fisc et appeler ses victimes par téléphone pour tenter de les convaincre de lui communiquer leurs coordonnées bancaires.
  • Menaces internes - Des personnes ont accès à des informations confidentielles et les divulguent délibérément, souvent à des fins lucratives. Il peut s'agir par exemple d'un serveur de restaurant qui copie les numéros des cartes bancaires des clients ou encore de hauts fonctionnaires qui vendent des secrets à des États étrangers. (En savoir plus sur les menaces internes.)
  • Exploitation des vulnérabilités - Presque toutes les entreprises du monde utilisent un grand nombre de logiciels différents. Comme les logiciels sont très complexes, ils contiennent souvent des failles appelées « vulnérabilités ». Un attaquant peut exploiter ces vulnérabilités afin d'obtenir un accès non autorisé et de visualiser ou copier des données confidentielles.
  • Infections par des logiciels malveillants - De nombreux logiciels malveillants sont conçus pour voler des données ou suivre les activités des utilisateurs, en envoyant les informations qu'ils recueillent à un serveur que l'attaquant contrôle.
  • Attaques physiques dans les points de vente - Ces attaques prennent pour cible les coordonnées des cartes de paiement et sont le plus souvent réalisées au moyen d'appareils qui scannent et lisent ces cartes. Ainsi, quelqu'un peut installer un faux distributeur de billets ou même un lecteur sur un vrai distributeur afin d'obtenir des numéros de carte et leurs codes PIN.
  • Fraude aux identifiants - Après avoir découvert les identifiants de connexion d'une personne, un pirate peut essayer de les réutiliser sur des dizaines d'autres plateformes. Si cet utilisateur se connecte avec le même nom d'utilisateur et le même mot de passe sur plusieurs services, le pirate peut avoir accès à la messagerie électronique, aux comptes de réseaux sociaux et/ou aux comptes bancaires en ligne de la victime.
  • Absence de chiffrement - Si un site Web qui collecte des données personnelles ou financières n'utilise pas le chiffrement SSL/TLS, n'importe qui peut surveiller les transmissions entre l'utilisateur et le site Web et voir ces données en clair.
  • Application ou serveur web mal configuré - Si un site Web, une application ou un serveur web n'est pas configuré correctement, il peut laisser des données exposées à toute personne disposant d'une connexion Internet. Les données confidentielles peuvent être vues par des utilisateurs qui tombent dessus par hasard ou par des attaquants qui les recherchent délibérément.

À quoi ressemble une violation de données dans le monde réel ?

La violation de données Equifax en 2017 est un exemple majeur de violation de données à grande échelle. Equifax est une agence américaine d'évaluation du crédit. Entre mai et juin 2017, des parties malveillantes ont accédé aux dossiers privés au sein des serveurs d'Equifax de près de 150 millions d'Américains, d'environ 15 millions de citoyens britanniques et d'environ 19 000 citoyens canadiens. L'attaque a été rendue possible parce qu'Equifax n'avait pas appliqué un correctif à une vulnérabilité logicielle dans son système.

Les violations de données à plus petite échelle peuvent également avoir un effet important. En 2020, des attaquants ont détourné les comptes Twitter de nombreuses personnes célèbres et influentes. L'attaque a été possible grâce à une première attaque d'ingénierie sociale qui a permis aux attaquants d'accéder aux outils d'administration internes de Twitter. À partir de cette brèche initiale, les attaquants ont pu prendre le contrôle des comptes de plusieurs personnes et promouvoir une escroquerie qui a collecté environ 117 000 dollars en bitcoins.

L'une des violations de données les plus notoires de ces dernières décennies a été la cyberattaque lancée contre le grand détaillant Target en 2013. La combinaison de stratégies utilisées pour mener à bien cette attaque était assez sophistiquée. L'attaque comprenait une attaque d'ingénierie sociale, le détournement d'un fournisseur tiers et une attaque à grande échelle sur les dispositifs physiques des points de vente.

L'attaque a débuté par une opération d'hameçonnage dirigée contre les employés d'une entreprise de climatisation avec laquelle Target avait passé un contrat pour la fourniture de climatiseurs permettant de refroidir ses magasins. Ces climatiseurs étaient reliés aux ordinateurs du réseau de Target pour surveiller leur consommation d'énergie, et les malfaiteurs ont piraté le logiciel de la société de climatisation pour accéder au système de Target. Enfin, les attaquants ont réussi à reprogrammer les lecteurs de cartes bancaires des magasins Target afin de récupérer les informations des cartes des clients. Ces lecteurs n'étaient pas connectés à Internet, mais étaient programmés pour transférer régulièrement les données des cartes bancaires enregistrées vers un point d'accès surveillé par les pirates. L'attaque a été couronnée de succès et a près de 110 millions de clients ont vu leurs données compromises.

Comment les entreprises peuvent-elles prévenir les violations de données ?

Comme les violations de données se présentent sous de nombreuses formes, il n'existe pas de solution unique pour y mettre fin et une approche globale est nécessaire. Voici quelques-unes des principales mesures que les entreprises peuvent prendre :

Contrôle d'accès : Les employeurs peuvent contribuer à lutter contre les violations de données en veillant à ce que leurs employés ne disposent que du minimum d'accès et d'autorisations nécessaires pour faire leur travail.

Chiffrement: Les entreprises doivent crypter leurs sites web et les données qu'elles reçoivent en utilisant le chiffrement SSL/TLS. Les entreprises doivent également chiffrer les données au repos, lorsqu'elles sont stockées sur leurs serveurs ou sur les appareils des employés.

Solutions de sécurité Web : Un pare-feu d'application Web (WAF) peut protéger une entreprise contre plusieurs types d'attaques d'applications et d'exploitations de vulnérabilités visant à créer des violations de données. En fait, il est spéculé qu'un WAF correctement configuré aurait empêché la grande attaque de violation de données contre Equifax en 2017.

Sécurité des réseaux : en plus de leurs propriétés web, les entreprises doivent protéger leurs réseaux internes de tentative toute compromission. Les solutions de sécurité des réseaux telles que les pare-feu, la protection contre les attaques DDoS, les passerelles web sécurisées, et la prévention des pertes de données (DLP) sont autant de moyens de protéger la sécurité des réseaux.

Maintenir les logiciels et le matériel à jour : Les anciennes versions des logiciels sont dangereuses. Les logiciels contiennent presque toujours des vulnérabilités qui, lorsqu'elles sont exploitées correctement, permettent aux attaquants d'accéder à des données sensibles. Les fournisseurs de logiciels publient régulièrement des correctifs de sécurité ou des versions entièrement nouvelles de leurs logiciels pour combler les vulnérabilités. Si ces correctifs et mises à jour ne sont pas installés, les attaquants seront en mesure de compromettre ces systèmes, comme cela s'est produit lors de la violation d'Equifax. Au-delà d'un certain point, les fournisseurs cesseront de prendre en charge un produit logiciel, laissant ce dernier complètement ouvert à toute nouvelle vulnérabilité découverte.

Préparation : Les entreprises doivent préparer un plan d'intervention à exécuter en cas de violation de données, dans le but de minimiser ou de contenir la fuite d'informations. Par exemple, les entreprises doivent conserver des copies de sauvegarde des bases de données importantes.

Formation : L'ingénierie sociale est l'une des causes les plus fréquentes des violations de données. Formez vos employés à reconnaître et à répondre aux attaques d'ingénierie sociale.

Comment les utilisateurs peuvent-ils se protéger contre les violations de données ?

Voici quelques conseils pour protéger vos données, bien que ces actions ne garantissent pas à elles seules la sécurité des données :

Utilisez des mots de passe uniques pour chaque service : De nombreux utilisateurs réutilisent leurs mots de passe sur plusieurs services en ligne. Ainsi, lorsque l'un de ces services subit une violation de données, les attaquants peuvent utiliser ces informations d'identification pour compromettre également les autres comptes des utilisateurs.

Utilisez l'authentification à deux facteurs : L'authentification à deux facteurs (2FA) est l'utilisation de plus d'une méthode de vérification pour confirmer l'identité d'un utilisateur avant qu'il ne soit autorisé à se connecter. L'une des formes les plus courantes d'authentification à deux facteurs est la saisie par l'utilisateur d'un code unique à usage unique envoyé par SMS sur son téléphone en plus de son mot de passe. Les utilisateurs qui mettent en œuvre la méthode 2FA sont moins vulnérables aux violations de données qui révèlent les identifiants de connexion, car leur mot de passe n'est pas suffisant à lui seul pour permettre à un attaquant de voler leurs comptes.

Ne soumettez des informations personnelles que sur les sites Web HTTPS : Un site Web qui n'utilise pas le chiffrement SSL aura seulement "http://" dans son URL, et non "https://". Les sites Web sans chiffrement exposent toutes les données qui y sont saisies, des noms d'utilisateur et mots de passe aux requêtes de recherche et numéros de carte de crédit.

Maintenez les logiciels et le matériel à jour : Cette suggestion s'applique aussi bien aux utilisateurs qu'aux entreprises.

Chiffrer les disques durs : Si l'appareil d'un utilisateur est volé, le chiffrement empêche l'attaquant de visualiser les fichiers stockés localement sur cet appareil. Toutefois, cela n'arrête pas les attaquants qui ont obtenu un accès à distance à l'appareil par le biais d'une infection par un logiciel malveillant ou par une autre méthode.

N'installez que des applications et n'ouvrez que des fichiers provenant de sources fiables : Chaque jour, des utilisateurs téléchargent et installent accidentellement des logiciels malveillants. Assurez-vous que les fichiers ou les applications que vous ouvrez, téléchargez ou installez proviennent bien d'une source légitime. En outre, les utilisateurs doivent éviter d'ouvrir des pièces jointes inattendues, les attaquants dissimulent souvent des logiciels malveillants dans des fichiers apparemment inoffensifs joints à des courriels.