Les failles de données récentes : ce qu’elles ont en commun
Le meilleur moyen d’éviter les failles de données est de comprendre et de combler les faiblesses que ciblent les pirates informatiques. Ne dit-on pas que mieux vaut prévenir que guérir ? Alors, quelles sont les causes les plus connues des failles de données ?
Quelle est la fréquence des failles de données et pourquoi constituent-elles un problème ?
Quelle que soit la manière dont on les présente, les statistiques sur les failles de données sont impressionnantes. Plus de 41 millions de comptes ont fait l’objet de fuites dans le monde au cours du seul premier trimestre de 2023, l’impact moyen d’une faille avoisinant les 4 millions de dollars. Il est à noter que les petites entreprises ont été ciblées dans 43 % des cas, preuve que nul n’est à l’abri des pirates.
Des tendances ont émergé : nous savons désormais qu’au moins 50 % des violations de données confirmées concernent les identifiants des utilisateurs. Les cybercriminels exploitent les vulnérabilités causées par la faiblesse et la réutilisation des identifiants grâce à des tactiques telles que :
- Les attaques par force brute. Cette tactique repose sur l’utilisation d’un logiciel qui devine des identifiants sur des milliers d’itérations, jusqu’à ce qu’un compte soit accessible. L’impact d’une attaque par force brute est également renforcé par la réutilisation des mots de passe, puisqu’un seul mot de passe permet au pirate de débloquer de nombreux comptes. Des mots de passe forts et complexes réduisent l’impact de cette tactique, car ils sont plus difficiles à deviner pour les pirates (ou leurs algorithmes).
- Le credential stuffing. S’il vous est déjà arrivé d’oublier votre mot de passe et d’essayer d’insérer d’autres identifiants en espérant deviner la bonne combinaison, alors vous comprenez le principe de base du credential stuffing. Dans le cadre des attaques par force brute, les pirates améliorent leurs chances en achetant des identifiants volés et en les saisissant sur différents sites Web. Les mots de passe réutilisés multiplient l’impact de ces tactiques en exposant plusieurs comptes lorsqu’une correspondance est trouvée.
Voulez-vous en savoir plus sur l’utilisation du gestionnaire de mots de passe Dashlane pour particulier ou pour entreprise ?
Découvrez nos forfaits pour gestionnaires de mots de passe pour particulier ou commencez avec un essai gratuit pour les entreprises.
Exemples récents de failles de données
Les failles de données font la une de l’actualité, certaines impliquant des entreprises de renom qui ont subi d’énormes pertes, tant en termes de données que d’argent. Parmi les failles de données les plus notables ayant fait l’objet d’une actualité récente, on peut citer :
- T-Mobile : en avril 2023, T-Mobile a annoncé avoir subi une faille de données, la deuxième depuis le début de l’année civile. Même s’il est vrai que la faille la plus récente a été traitée avec une certaine célérité, il faut tout de même signaler que l’incident de janvier a exposé les données personnelles de 37 millions de clients de T-Mobile.
- La Chambre des représentants des États-Unis : le gouvernement américain a signalé, en mars 2023, un piratage informatique impliquant les données personnelles de 17 membres actuels et anciens du Congrès, preuve que personne n’est à l’abri des failles de données. Malgré les enquêtes en cours du FBI et de la police du Capitole, les coupables et leurs méthodes n’ont pas encore été identifiés.
- Pizza Hut : en janvier 2023, Yum Brands, la société mère de Pizza Hut, KFC et Taco Bell, a été victime d’une faille de données qui a entraîné la fermeture temporaire de 300 restaurants. Une attaque par ransomware a révélé des informations sur des clients, notamment des noms et des numéros de permis de conduire.
- MailChimp : le géant du marketing par e-mail, MailChimp, a déclaré avoir subi une deuxième faille de données en l’espace de six mois. L’intrus a utilisé des tactiques d’ingénierie sociale pour convaincre les employés de partager leurs identifiants, obtenant ainsi l’accès à 133 comptes clients de MailChimp.
- Norton LifeLock : plus de six mille clients de LifeLock ont vu leurs comptes compromis au cours des premières semaines de l’année 2023. L’accès non autorisé serait le résultat d’une tactique de credential stuffing. Après avoir infiltré les comptes LifeLock à l’aide d’identifiants volés, les cybercriminels ont pu consulter les noms, les numéros de téléphone et les adresses postales des clients.
- LastPass : en décembre 2022, le gestionnaire de mots de passe LastPass a annoncé une faille de données ayant exposé les adresses électroniques, les numéros de téléphone, les adresses IP, les informations de facturation et les mots de passe maîtres du gestionnaire de mots de passe d’environ 3 % de ses clients professionnels. Les cybercriminels ont réussi à voler les données chiffrées des clients, ainsi que les clés de chiffrement, à partir du fournisseur tiers de stockage de l’entreprise, basé sur le cloud. Si vous avez été touché par la faille de Lastpass, voici la manière la plus simple de passer à un gestionnaire de mots de passe plus sécurisé.
- Uber : en septembre 2022, un pirate informatique de 18 ans a obtenu un accès complet aux systèmes internes et au canal de communication Slack du géant du covoiturage Uber. Visiblement, le pirate a utilisé des tactiques d’ingénierie sociale, l’une des causes les plus courantes des failles de données, pour inciter un employé du service informatique d’Uber à partager ses identifiants.
- Twitter : grâce à une mise à jour du code de Twitter en juin 2021, il était possible d’obtenir le nom d’utilisateur d’un abonné de Twitter en fournissant simplement son numéro de téléphone ou son adresse e-mail. Bien que ce bug ait été corrigé six mois plus tard, plus de 200 millions de noms d’utilisateur et d’adresses électroniques de Twitter se sont retrouvés en vente sur le marché noir en janvier 2023.
7 causes courantes des failles de données
Un examen minutieux des incidents récents met en lumière les causes courantes des failles de données, mais il est souvent difficile d’en identifier l’origine. En effet, de nombreuses failles de données résultent de la combinaison de deux ou plusieurs tactiques de piratage, tandis que la cause première d’autres violations reste un mystère. Les causes les plus largement documentées des failles de données récentes sont les suivantes :
- Les mots de passe réutilisés : la réutilisation d’identifiants de connexion est monnaie courante, car nous voulons tous que nos mots de passe soient plus faciles à mémoriser. Malheureusement, la réutilisation des mots de passe affaiblit également les mots de passe, puisque plusieurs comptes peuvent être affectés si seul un mot de passe réutilisé est compromis, ce qui en fait l’une des principales causes des failles de données. La réutilisation des mots de passe affaiblit nos mots de passe et nous rend beaucoup plus vulnérables aux attaques par credential stuffing et par force brute, puisque l’impact d’une correspondance réussie est multiplié.
- Les mots de passe faibles : les mots de passe trop courts, peu complexes ou trop prévisibles sont également l’une des causes les plus fréquentes des failles de données, car ils peuvent être facilement devinés par les pirates qui utilisent des logiciels automatisés pour orchestrer leurs attaques. En augmentant le nombre de caractères du mot de passe de 8 à 12, le nombre de combinaisons possibles passe de 200 milliards à 95 quadrillions, ce qui rend le décodage beaucoup plus difficile pour les pirates. Un mot de passe fort doit également omettre les éléments tels que les noms de famille ou des adresses associés à votre identité.
La meilleure façon de créer des mots de passe forts et imprévisibles est d’utiliser le générateur de mots de passe d’un gestionnaire de mots de passe. - Les applications non patchées : les mises à jour des applications et des systèmes d’exploitation comprennent également des correctifs destinés à résoudre les problèmes de sécurité connus. Les pirates profitent des logiciels non patchés et des systèmes d’exploitation obsolètes pour obtenir un accès non autorisé. Ils vont même jusqu’à parcourir l’Internet pour trouver des systèmes non patchés à pirater. L’application des correctifs recommandés et la réalisation de la maintenance du système dans les délais impartis contribuent à renforcer votre posture de sécurité globale et à prévenir les failles de données.
- Les logiciels malveillants : les logiciels malveillants ou malware comprennent de nombreux types de logiciels qui peuvent interférer avec le fonctionnement d’un ordinateur. Les variantes de logiciels malveillants comprennent les adware, les vers informatiques et les virus. Une attaque par malware devient plus dangereuse lorsque l’intention du pirate est de voler des données ou de rendre un appareil inutilisable jusqu’à ce qu’une rançon soit payée.
—Les logiciels espions : la forme de malware communément appelée logiciel espion s’installe sur un appareil et recueille des informations telles que les numéros de carte de crédit et les mots de passe, et les renvoie au pirate. Étant donné que l’appareil pourrait sembler fonctionner normalement, les attaques de logiciels espions peuvent être difficiles à détecter.
—Les ransomware : la variante des logiciels malveillants connue sous le nom de ransomware est utilisée pour empêcher une personne ou une entreprise d’accéder à ses propres fichiers, jusqu’à ce qu’une rançon soit payée. Le paiement s’effectue généralement avec de la crypto-monnaie, car il est dans ce cas anonyme, rapide et parfois difficile à tracer. La sauvegarde et le chiffrement réguliers des fichiers importants réduisent l’impact des attaques de ransomware.
- L’ingénierie sociale. Les récentes failles de données, notamment celles d’Uber et de MailChimp, ont fait appel à des tactiques d’ingénierie sociale, qui utilisent une à la fois les bases de la psychologie et des données personnelles et d’entreprise facilement accessibles. Les cibles sont alors incitées à divulguer des informations confidentielles telles que des noms d’utilisateur, des mots de passe et des numéros de compte. Les e-mails de phishing déguisés en messages provenant de sources fiables en sont un exemple notoire, mais les méthodes d’ingénierie sociale comprennent également les appels téléphoniques, les SMS et même les contacts en personne.
- Les menaces d’initié : ces menaces trouvent leur origine sur le lieu de travail et peuvent être le fait :
—d’une erreur humaine : elle se produit lorsque les employés perdent ou égarent des fichiers, des données et des appareils de l’entreprise, ou se laissent piéger par des attaques malveillantes de phishing provenant de l’extérieur de l’entreprise.
—d’anciens employés qui conservent leurs identifiants et les utilisent pour porter atteinte aux actifs de l’entreprise. Le partage non sécurisé des mots de passe sur le lieu de travail peut réduire la visibilité sur les mots de passe lorsque des employés quittent l’entreprise.
—des employés mécontents qui altèrent, détruisent ou volent les données de l’entreprise.
—des programmes Bring your own device (BYOD, apportez votre propre appareil) qui permettent aux employés de transférer des logiciels malveillants et d’autres menaces de cybersécurité sur le réseau de l’entreprise à partir de leurs appareils personnels. - des attaques physiques : comme leur nom l’indique, les atteintes à la sécurité physique impliquent un contact direct et non autorisé avec des serveurs, des appareils et d’autres personnes. Des systèmes de sécurité à plusieurs niveaux, comprenant des clôtures, des caméras de sécurité et des badges, sont utilisés pour protéger les centres de données contre les attaques physiques. L’ingénierie sociale et les attaques physiques ont un point commun : les cybercriminels utilisent des méthodes telles que le tailgating pour se glisser sans être détectés derrière les utilisateurs autorisés et le shoulder surfing pour voler des informations par-dessus l’épaule de la victime.
Comment protéger mon entreprise ?
Examiner les causes courantes des violations de données et y répondre peut contribuer à la sécurité de votre entreprise. Bien que les mesures de sécurité préventives telles que les logiciels antivirus, les pare-feu et les systèmes de détection d’intrusion soient précieuses, les événements récents indiquent que l’élément humain est la principale cause des failles de données. Votre plan de cybersécurité doit se concentrer sur l’élimination des mauvaises habitudes telles que la réutilisation des mots de passe, tout en éduquant les employés, les membres de la famille et les amis sur les tactiques d’ingénierie sociale qui s’appuient sur notre tendance à faire confiance aux autres lorsqu’ils paraissent crédibles.
Stratégies de Dashlane pour vous protéger des failles de données
Dashlane est un gestionnaire de mots de passe qui protège vos mots de passe et d’autres données personnelles contre les failles de données. Ses fonctionnalités standard comprennent la double authentification (2FA), le score de sécurité, le chiffrement AES 256 bits, et la surveillance du Dark Web pour analyser en permanence les recoins sombres d’Internet et s’assurer que vos identifiants n’ont pas été compromis. Notre architecture brevetée « zero-knowledge » garantit que personne, pas même Dashlane, ne peut accéder à vos données confidentielles. Si Dashlane venait à être piraté, les cybercriminels ne verraient pas vos données non chiffrées.
Des mots de passe forts et de bonnes habitudes en matière de cybersécurité vous aideront à éviter les failles de données. Pour savoir comment les utilisateurs d’ordinateurs de différentes régions se positionnent en matière de mots de passe compromis, faibles et réutilisés, jetez un coup d’œil aux scores de sécurité dans le monde.
Références
- DataProt, « Data Breach Statistics That Will Make You Think Twice Before Filling Out an Online Form », mars 2023.
- Surfshark, « Data breach statistics 2023’Q1 vs. 2022’Q4 », mai 2023.
- Dashlane, « Une simple action permet d’éviter l’une des failles de données les plus courantes », novembre 2021.
- Dashlane, « Le credential stuffing, c’est quoi ? » septembre 2020.
- Dashlane “What the Hack is a Brute Force Attack ?” ( février 2020.
- Security, « T-Mobile confirms second data breach in 2023, » septembre 2022.
- CBS News, « At least 17 members of Congress had sensitive information exposed in data breach, ». mars 2023.
- TechCrunch, « Norton LifeLock says thousands of customer accounts breached, » janvier 2023.
- Security Week, « Yum Brands Discloses Data Breach Following Ransomware Attack, » avril 2023.
- TechCrunch, « Mailchimp says it was hacked — again, » janvier 2023.
- Dashlane « The Most Notable Breaches That Kicked Off 2023 », février 2023.
- Dashlane, « Tout ce que vous devez savoir sur l’attaque d’ingénierie sociale chez Uber », septembre 2022.
- Dashlane, « Fuite d’e-mails de 200 millions d’utilisateurs de Twitter : ce qu’il faut savoir et comment protéger vos informations », janvier 2023.
- Dashlane, « How Password Reuse Leads to Cybersecurity Vulnerabilities », mai 2023.
- Dashlane, « 6 conseils pour créer des mots de passe forts et sécurisés dans un monde numérique », mars 2023.
- Dashlane, « Résistez aux piratages grâce au générateur de mots de passe de Dashlane », 2023.
- Dashlane, « Les raisons pour lesquelles vous devriez tenir vos applications à jour », mars 2022.
- Dashlane, « What the Hack Is Malware? », février 2020.
- Dashlane, « How to Prevent Ransomware Attacks on Your Devices », mars 2023.
- Dashlane, « 5 raisons pour lesquelles vous devriez régulièrement sauvegarder les données de votre ordinateur », mai 2023.
- Dashlane, « Interview With a Hacker: Rachel Tobac Tells You How to Defend Yourself From…Well, Her! », mars 2021.
- Information Week, « 75% of Insider Cyber Attacks are the Work of Disgruntled Ex-Employees: Report », juillet 2022.
- Dashlane, « Ne mordez pas à l’hameçon : les gestionnaires de mots de passe peuvent vous protéger des attaques de phishing », novembre 2020.
- Dashlane, « 9 BYOD Security Best Practices for Small and Medium-sized Businesses », [9 bonnes pratiques de sécurité BYOD pour les petites et moyennes entreprises] mai 2023.
- Maryville University, « Types of Security Breaches : Physical and Digital », 2023.
- Dashlane, « How To Create a Small Business Cybersecurity Plan That Works », [Comment mettre en place un plan de cybersécurité efficace pour les petites entreprises ?] février 2023
- Dashlane, « Gestionnaire de mots de passe personnel fiable », 2023.
- Dashlane, « La sécurité avant tout : comment Dashlane protège vos données », janvier 2023.
- Dashlane, « Double authentification (2FA) dans Dashlane », 2023.
- SimpliLearn, « What Is AES Encryption and How Does It Work? », février 2023.
- Dashlane, « A Deep Dive into Dashlane’s Zero-Knowledge Security, », 2023.
- Dashlane « A look at Password Health Scores around the world in 2022 », 2022.
Inscrivez-vous pour connaître toute l'actualité de Dashlane