L’histoire des violations de données
Les violations de données sont de plus en plus courantes et nuisibles depuis des décennies. Quelques-uns se démarquent cependant, en tant qu’exemples instructifs de l’évolution des violations, de la façon dont les attaquants sont capables d’orchestrer ces attaques, de ce qui peut être volé et de ce qui arrive aux données une fois qu’une violation s’est produite.
Les violations de données numériques ont commencé bien avant l’utilisation généralisée d’Internet, mais elles ressemblaient à bien des égards aux fuites que nous constatons aujourd’hui. L’un des premiers incidents marquants s’est produit en 1984, lorsque l’agence d’évaluation du crédit TRW Information Systems (aujourd’hui Experian) s’est rendu compte que l’un de ses fichiers de base de données avait été piraté. Le trésor était protégé par un mot de passe numérique que quelqu’un a extrait d’une note administrative dans un magasin Sears et affiché sur un « babillard électronique » – une sorte de Google Doc rudimentaire auquel les gens pouvaient accéder et modifier à l’aide de leur connexion téléphonique fixe. À partir de là, quiconque savait comment consulter le tableau d’affichage aurait pu utiliser le mot de passe pour accéder aux données stockées dans le fichier TRW : données personnelles et antécédents de crédit de 90 millions d’Américains. Le mot de passe a été exposé pendant un mois. À l’époque, TRW a déclaré avoir changé le mot de passe de la base de données dès qu’il a découvert la situation. Bien que l’incident soit éclipsé par la violation de l’année dernière de l’agence d’évaluation du crédit Equifax (discutée ci-dessous), la déchéance de TRW était un avertissement pour les entreprises de données du monde entier – un avertissement dont beaucoup n’ont manifestement pas tenu compte.
Des violations à grande échelle comme l’incident de TRW se sont produites sporadiquement au fil des années et de la maturation d’Internet. Au début des années 2010, alors que les appareils mobiles et l’Internet des objets élargissaient considérablement l’interconnectivité, le problème des violations de données devenait particulièrement urgent. Le vol de paires nom d’utilisateur/mot de passe ou de numéros de carte de crédit, voire la violation d’un trésor de données agrégées à partir de sources déjà publiques, pourrait donner aux attaquants les clés de toute la vie en ligne de quelqu’un. Et certaines violations en particulier ont contribué à alimenter une économie croissante du Web sombre de données d’utilisateurs volées.
L’un de ces incidents était une violation de LinkedIn en 2012 qui semblait initialement exposer 6,5 millions de mots de passe. Les données ont été hachées ou brouillées de manière cryptographique, comme protection pour les rendre inintelligibles et donc difficiles à réutiliser, mais les pirates ont rapidement commencé à « craquer » les hachages pour exposer les mots de passe réels des utilisateurs de LinkedIn. Bien que LinkedIn lui-même ait pris des précautions pour réinitialiser les mots de passe des comptes concernés, les attaquants en ont quand même profité en trouvant d’autres comptes sur le Web où les utilisateurs avaient réutilisé le même mot de passe. Cette hygiène laxiste trop courante des mots de passe signifie qu’une seule violation peut hanter les utilisateurs pendant des années.
Le piratage de LinkedIn s’est également avéré encore pire qu’il n’y paraissait. En 2016, un pirate connu sous le nom de « Peace » a commencé à vendre des informations de compte, en particulier des adresses e-mail et des mots de passe, à 117 millions d’utilisateurs de LinkedIn. Les données volées lors de la violation de LinkedIn ont été réutilisées et revendues par des criminels depuis, et les attaquants réussissent encore à exploiter les données à ce jour, car de nombreuses personnes réutilisent les mêmes mots de passe sur de nombreux comptes pendant des années.
Les violations de données ne sont pas vraiment devenues du fourrage à table, cependant, jusqu’à la fin de 2013 et 2014, lorsque les principaux détaillants Target, Neiman Marcus et Home Depot ont subi des violations massives les unes après les autres. Le piratage de Target, révélé publiquement pour la première fois en décembre 2013, a eu un impact sur les informations personnelles (telles que les noms, adresses, numéros de téléphone et adresses e-mail) de 70 millions d’Américains et compromis 40 millions de numéros de cartes de crédit. Quelques semaines plus tard, en janvier 2014, Neiman Marcus a admis que ses systèmes de point de vente avaient été touchés par le même logiciel malveillant qui avait infecté Target, exposant les informations d’environ 110 millions de clients Neiman Marcus, ainsi que 1,1 million de cartes de crédit et de débit. numéros de cartes. Puis, après des mois de retombées de ces deux violations, Home Depot a annoncé en septembre 2014 que des pirates avaient volé 56 millions de numéros de cartes de crédit et de débit de ses systèmes en installant des logiciels malveillants sur les terminaux de paiement de l’entreprise.
Une attaque encore plus dévastatrice et sinistre avait lieu au même moment, cependant. L’Office of Personnel Management est le département administratif et RH des employés du gouvernement américain. Le ministère gère les autorisations de sécurité, effectue des vérifications des antécédents et conserve des dossiers sur chaque employé fédéral passé et présent. Si vous voulez savoir ce qui se passe au sein du gouvernement américain, c’est le département à pirater. Alors la Chine l’a fait.
Des pirates liés au gouvernement chinois ont infiltré le réseau d’OPM à deux reprises, d’abord en volant les plans techniques du réseau en 2013, puis en lançant une deuxième attaque peu de temps après dans laquelle ils ont pris le contrôle du serveur administratif qui gérait l’authentification pour toutes les autres connexions au serveur. En d’autres termes, au moment où l’OPM a pleinement réalisé ce qui s’était passé et a agi pour éliminer les intrus en 2015, les pirates avaient pu voler des dizaines de millions de documents détaillés sur tous les aspects de la vie des employés fédéraux, dont 21,5 millions de numéros de sécurité sociale. et 5,6 millions d’enregistrements d’empreintes digitales. Dans certains cas, les victimes n’étaient même pas des employés fédéraux, mais étaient simplement liées d’une manière ou d’une autre à des employés du gouvernement qui avaient subi une vérification des antécédents. (Ces vérifications incluent toutes sortes d’informations extrêmement spécifiques, comme des cartes de la famille, des amis, des associés et des enfants d’un sujet.)
