Qu’est-ce qu’une violation des données ?
Une violation de données implique la divulgation d’informations sensibles. De nombreux types d’attaques en ligne ont pour objectif premier de provoquer une violation de données afin de divulguer des informations telles que les identifiants de connexion et les données financières personnelles.
- Qu’est-ce que la sécurité des applications web ?
- Menaces communes
- Glossaire
- Violation des données
Qu’est-ce qu’une violation de données ?
Une violation de données est la diffusion d’informations confidentielles, privées ou autrement sensibles dans un environnement non sécurisé. Une violation de données peut se produire accidentellement ou à la suite d’une attaque délibérée.
Des millions de personnes sont touchées par les violations de données chaque année, et leur portée peut aller d’un médecin regardant accidentellement le mauvais dossier d’un patient, à une équipe d’agents d’élite craquant les ordinateurs du gouvernement pour découvrir des secrets militaires.
Les violations de données sont une préoccupation majeure en matière de cybersécurité, car des données sensibles sont constamment transmises sur l’internet. Ce transfert continu d’informations permet aux attaquants, où qu’ils se trouvent, de tenter des atteintes aux données sur presque toutes les personnes ou entreprises de leur choix.
Quels sont les exemples les plus courants de violation de données ?
- Perte ou vol d’identifiants – La façon la plus simple de consulter des données privées en ligne consiste à utiliser les identifiants de connexion d’une autre personne pour se connecter à un service. Pour ce faire, les pirates utilisent une litanie de stratégies pour mettre la main sur les identifiants et les mots de passe des personnes. Il s’agit notamment d’attaques par la force brute et d’attaques de type « man-in-the-middle ».
- Attaques d’ingénierie sociale – L’ingénierie sociale consiste à utiliser la manipulation psychologique pour amener les gens à remettre des informations sensibles. Par exemple, un agresseur peut se faire passer pour un agent du fisc et appeler ses victimes au téléphone pour tenter de les convaincre de partager les informations relatives à leurs comptes bancaires.
- Menaces d’initiés – Il s’agit de personnes qui ont accès à des informations protégées et qui exposent délibérément ces données, souvent dans un but de gain personnel. On peut citer comme exemple un serveur de restaurant qui copie les numéros de carte de crédit des clients ainsi que des fonctionnaires de haut niveau qui vendent des secrets à des États étrangers.
- Attaques contre les grandes entreprises – Les grandes entreprises sont des cibles de choix pour les attaquants qui tentent de provoquer des violations de données car elles offrent une charge utile importante. Cette charge utile peut comprendre les informations personnelles et/ou financières de millions d’utilisateurs, telles que les identifiants de connexion et les numéros de carte de crédit. Toutes ces données peuvent être revendues sur le marché noir.
- Attaques physiques aux points de vente – Ces attaques visent les informations des cartes de crédit et de débit et impliquent le plus souvent les appareils qui scannent et lisent ces cartes. Par exemple, quelqu’un pourrait installer un faux distributeur automatique de billets ou même un scanner sur un distributeur légitime dans l’espoir de recueillir les numéros de carte et les codes PIN.
- Fraude aux identifiants – Une fois que les identifiants de connexion d’une personne sont exposés, un attaquant peut tenter de réutiliser ces mêmes identifiants sur des dizaines d’autres plateformes. Si cet utilisateur se connecte avec le même nom d’utilisateur et le même mot de passe sur plusieurs services, l’attaquant peut accéder au courrier électronique, aux médias sociaux et/ou aux comptes bancaires en ligne de la victime.
À quoi ressemble une violation de données dans le monde réel ?
L’une des violations de données les plus notoires de ces dernières années a été la cyber-attaque lancée contre Target en 2013. Cette attaque est encore largement débattue car la combinaison des stratégies utilisées pour la réaliser était très sophistiquée. Il s’agissait d’une attaque d’ingénierie sociale, du détournement d’un fournisseur tiers et d’une attaque à grande échelle sur des dispositifs physiques de points de vente.
L’attaque a débuté par une arnaque de phishing qui visait les employés d’une entreprise de climatisation avec laquelle Target avait passé un contrat pour fournir des unités de climatisation pour refroidir leurs magasins. Ces climatiseurs étaient reliés à des ordinateurs du réseau de Target pour surveiller la consommation d’énergie, et les attaquants ont piraté le logiciel de la société de climatisation pour accéder au système de Target. Finalement, les attaquants ont pu reprogrammer les scanners de cartes de crédit dans les magasins de Target afin de fournir aux attaquants les données des cartes de crédit des clients. Ces scanners n’étaient pas connectés à Internet, mais étaient programmés pour transférer périodiquement les données de cartes de crédit sauvegardées dans un point d’accès surveillé par les attaquants. L’attaque a connu un succès retentissant et a conduit à la compromission des données de quelque 110 millions de clients ciblés.
Comment prévenir les violations de données ?
Les violations de données se présentant sous de nombreuses formes, il n’existe pas de solution unique pour y mettre fin et une approche globale est nécessaire. De nombreux types de violations de données peuvent être évités grâce à une approche de bon sens de la sécurité des données. Des pratiques telles que la non-utilisation de cartes de crédit auprès de vendeurs suspects et le choix de mots de passe longs et uniques pour les services en ligne permettront de mettre un terme à certaines des attaques les plus faciles et les plus courantes en matière de violations de données. La mise à jour des logiciels à l’aide de correctifs de sécurité et l’utilisation de logiciels de sécurité tels que les antivirus et les bloqueurs de logiciels malveillants contribueront également à atténuer les atteintes aux données.
Les employeurs peuvent contribuer à la lutte contre les violations de données en veillant à ce que leurs employés ne disposent que du minimum d’accès et d’autorisations nécessaires pour faire leur travail. Il est également judicieux qu’une entreprise prépare un plan d’intervention à exécuter en cas de violation de données, dans le but de minimiser ou de contenir la fuite d’informations.
Les entreprises devraient également crypter leurs sites web en utilisant le cryptage SSL/TLS pour protéger les données de leurs clients. En outre, un WAF peut protéger une entreprise contre plusieurs types d’attaques d’applications visant à créer des brèches dans les données. En fait, on pense qu’un WAF correctement configuré aurait permis d’éviter la grande attaque de violation de données qui a eu lieu à Equifax en 2017.