Les violations de données entraînent la divulgation d'informations sensibles. De nombreux types d'attaques en ligne ont pour principal objectif de provoquer une violation des données afin de divulguer des informations telles que des identifiants de connexion et des informations bancaires privées.
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce que la sécurité des applications web ?
Pourquoi utiliser HTTPS ?
Attaque par force brute
Qu'est-ce que le débordement de tampon (buffer overflow) ?
Qu’est-ce que le top 10 de l’OWASP ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
On parle de violation ds données lorsque des informations confidentielles, privées ou de nature sensible sont divulguées dans un environnement non sécurisé. Une violation des données peut se produire accidentellement ou résulter d'une attaque délibérée.
Chaque année, des millions de personnes sont touchées par des violations de données, dont l'ampleur peut aller d'un médecin consultant accidentellement le mauvais dossier d'un patient à une tentative à grande échelle d'accéder à des ordinateurs gouvernementaux pour découvrir des informations sensibles.
Les violations de données constituent l'une des principales menaces en matière de cybersécurité, car des données sensibles circulent en permanence sur Internet. Ce transfert constant d'informations permet aux pirates, où qu'ils se trouvent, de voler les données de pratiquement toutes les personnes ou entreprises de leur choix.
Les données sont également stockées sous forme numérique par les entreprises du monde entier. Les serveurs qui stockent les données sont souvent vulnérables à diverses formes de cyberattaques.
Les grandes entreprises sont des cibles de choix pour les pirates qui tentent de s'approprier des données confidentielles, car leur volume est souvent très conséquent. Il peut s'agir des données personnelles et/ou des coordonnées bancaires de millions d'utilisateurs, par exemple des identifiants de connexion et des numéros de carte bancaire. Toutes ces données peuvent être revendues sur le marché noir.
Cependant, les attaquants ciblent toute personne dont ils peuvent extraire des données. Toutes les données personnelles ou confidentielles sont précieuses pour les cybercriminels, en général, quelqu'un dans le monde est prêt à payer pour les obtenir.
La violation de données Equifax en 2017 est un exemple majeur de violation de données à grande échelle. Equifax est une agence américaine d'évaluation du crédit. Entre mai et juin 2017, des parties malveillantes ont accédé aux dossiers privés au sein des serveurs d'Equifax de près de 150 millions d'Américains, d'environ 15 millions de citoyens britanniques et d'environ 19 000 citoyens canadiens. L'attaque a été rendue possible parce qu'Equifax n'avait pas appliqué un correctif à une vulnérabilité logicielle dans son système.
Les violations de données à plus petite échelle peuvent également avoir un effet important. En 2020, des attaquants ont détourné les comptes Twitter de nombreuses personnes célèbres et influentes. L'attaque a été possible grâce à une première attaque d'ingénierie sociale qui a permis aux attaquants d'accéder aux outils d'administration internes de Twitter. À partir de cette brèche initiale, les attaquants ont pu prendre le contrôle des comptes de plusieurs personnes et promouvoir une escroquerie qui a collecté environ 117 000 dollars en bitcoins.
L'une des violations de données les plus notoires de ces dernières décennies a été la cyberattaque lancée contre le grand détaillant Target en 2013. La combinaison de stratégies utilisées pour mener à bien cette attaque était assez sophistiquée. L'attaque comprenait une attaque d'ingénierie sociale, le détournement d'un fournisseur tiers et une attaque à grande échelle sur les dispositifs physiques des points de vente.
L'attaque a débuté par une opération d'hameçonnage dirigée contre les employés d'une entreprise de climatisation avec laquelle Target avait passé un contrat pour la fourniture de climatiseurs permettant de refroidir ses magasins. Ces climatiseurs étaient reliés aux ordinateurs du réseau de Target pour surveiller leur consommation d'énergie, et les malfaiteurs ont piraté le logiciel de la société de climatisation pour accéder au système de Target. Enfin, les attaquants ont réussi à reprogrammer les lecteurs de cartes bancaires des magasins Target afin de récupérer les informations des cartes des clients. Ces lecteurs n'étaient pas connectés à Internet, mais étaient programmés pour transférer régulièrement les données des cartes bancaires enregistrées vers un point d'accès surveillé par les pirates. L'attaque a été couronnée de succès et a près de 110 millions de clients ont vu leurs données compromises.
Comme les violations de données se présentent sous de nombreuses formes, il n'existe pas de solution unique pour y mettre fin et une approche globale est nécessaire. Voici quelques-unes des principales mesures que les entreprises peuvent prendre :
Contrôle d'accès : Les employeurs peuvent contribuer à lutter contre les violations de données en veillant à ce que leurs employés ne disposent que du minimum d'accès et d'autorisations nécessaires pour faire leur travail.
Chiffrement: Les entreprises doivent crypter leurs sites web et les données qu'elles reçoivent en utilisant le chiffrement SSL/TLS. Les entreprises doivent également chiffrer les données au repos, lorsqu'elles sont stockées sur leurs serveurs ou sur les appareils des employés.
Solutions de sécurité Web : Un pare-feu d'application Web (WAF) peut protéger une entreprise contre plusieurs types d'attaques d'applications et d'exploitations de vulnérabilités visant à créer des violations de données. En fait, il est spéculé qu'un WAF correctement configuré aurait empêché la grande attaque de violation de données contre Equifax en 2017.
Sécurité des réseaux : en plus de leurs propriétés web, les entreprises doivent protéger leurs réseaux internes de tentative toute compromission. Les solutions de sécurité des réseaux telles que les pare-feu, la protection contre les attaques DDoS, les passerelles web sécurisées, et la prévention des pertes de données (DLP) sont autant de moyens de protéger la sécurité des réseaux.
Maintenir les logiciels et le matériel à jour : Les anciennes versions des logiciels sont dangereuses. Les logiciels contiennent presque toujours des vulnérabilités qui, lorsqu'elles sont exploitées correctement, permettent aux attaquants d'accéder à des données sensibles. Les fournisseurs de logiciels publient régulièrement des correctifs de sécurité ou des versions entièrement nouvelles de leurs logiciels pour combler les vulnérabilités. Si ces correctifs et mises à jour ne sont pas installés, les attaquants seront en mesure de compromettre ces systèmes, comme cela s'est produit lors de la violation d'Equifax. Au-delà d'un certain point, les fournisseurs cesseront de prendre en charge un produit logiciel, laissant ce dernier complètement ouvert à toute nouvelle vulnérabilité découverte.
Préparation : Les entreprises doivent préparer un plan d'intervention à exécuter en cas de violation de données, dans le but de minimiser ou de contenir la fuite d'informations. Par exemple, les entreprises doivent conserver des copies de sauvegarde des bases de données importantes.
Formation : L'ingénierie sociale est l'une des causes les plus fréquentes des violations de données. Formez vos employés à reconnaître et à répondre aux attaques d'ingénierie sociale.
Voici quelques conseils pour protéger vos données, bien que ces actions ne garantissent pas à elles seules la sécurité des données :
Utilisez des mots de passe uniques pour chaque service : De nombreux utilisateurs réutilisent leurs mots de passe sur plusieurs services en ligne. Ainsi, lorsque l'un de ces services subit une violation de données, les attaquants peuvent utiliser ces informations d'identification pour compromettre également les autres comptes des utilisateurs.
Utilisez l'authentification à deux facteurs : L'authentification à deux facteurs (2FA) est l'utilisation de plus d'une méthode de vérification pour confirmer l'identité d'un utilisateur avant qu'il ne soit autorisé à se connecter. L'une des formes les plus courantes d'authentification à deux facteurs est la saisie par l'utilisateur d'un code unique à usage unique envoyé par SMS sur son téléphone en plus de son mot de passe. Les utilisateurs qui mettent en œuvre la méthode 2FA sont moins vulnérables aux violations de données qui révèlent les identifiants de connexion, car leur mot de passe n'est pas suffisant à lui seul pour permettre à un attaquant de voler leurs comptes.
Ne soumettez des informations personnelles que sur les sites Web HTTPS : Un site Web qui n'utilise pas le chiffrement SSL aura seulement "http://" dans son URL, et non "https://". Les sites Web sans chiffrement exposent toutes les données qui y sont saisies, des noms d'utilisateur et mots de passe aux requêtes de recherche et numéros de carte de crédit.
Maintenez les logiciels et le matériel à jour : Cette suggestion s'applique aussi bien aux utilisateurs qu'aux entreprises.
Chiffrer les disques durs : Si l'appareil d'un utilisateur est volé, le chiffrement empêche l'attaquant de visualiser les fichiers stockés localement sur cet appareil. Toutefois, cela n'arrête pas les attaquants qui ont obtenu un accès à distance à l'appareil par le biais d'une infection par un logiciel malveillant ou par une autre méthode.
N'installez que des applications et n'ouvrez que des fichiers provenant de sources fiables : Chaque jour, des utilisateurs téléchargent et installent accidentellement des logiciels malveillants. Assurez-vous que les fichiers ou les applications que vous ouvrez, téléchargez ou installez proviennent bien d'une source légitime. En outre, les utilisateurs doivent éviter d'ouvrir des pièces jointes inattendues, les attaquants dissimulent souvent des logiciels malveillants dans des fichiers apparemment inoffensifs joints à des courriels.
Prise en main
À propos de la sécurité des applications Web
Menaces courantes
Ressources VPN
Glossaire de sécurité