{"id":22148,"date":"2024-09-04T10:56:31","date_gmt":"2024-09-04T08:56:31","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22148"},"modified":"2024-09-04T10:56:31","modified_gmt":"2024-09-04T08:56:31","slug":"top-five-data-breaches-in-history","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/top-five-data-breaches-in-history\/22148\/","title":{"rendered":"RockYou2024 et les quatre autres plus grandes violations de donn\u00e9es de l’histoire"},"content":{"rendered":"

Ces derni\u00e8res ann\u00e9es, le nombre de donn\u00e9es compromises n\u2019a cess\u00e9 d\u2019augmenter<\/a>. Les actualit\u00e9s sur les fuites et les piratages sont presque quotidiennes, et chez Kaspersky, nous continuons \u00e0 utiliser beaucoup d\u2019encre \u00e9lectronique pour vous informer de la n\u00e9cessit\u00e9 d\u2019une protection solide<\/a>\u00a0\u2013 aujourd\u2019hui plus que jamais.<\/p>\n

Aujourd\u2019hui, nous replongeons dans l\u2019histoire et \u00e9voquons (avec un frisson) les plus grandes et les plus graves fuites de donn\u00e9es (DB) de tous les temps. Pour d\u00e9couvrir la quantit\u00e9 et le type d\u2019informations qui ont \u00e9t\u00e9 divulgu\u00e9es, qui a \u00e9t\u00e9 concern\u00e9 et bien plus encore, lisez la suite\u2026<\/p>\n

1.\u00a0\u00a0\u00a0 RockYou2024<\/h2>\n

En bref\u00a0:<\/strong> des pirates informatiques ont collect\u00e9 des donn\u00e9es provenant de fuites ant\u00e9rieures et ont r\u00e9alis\u00e9 la plus grande compilation jamais r\u00e9alis\u00e9e de mots de passe d\u2019utilisateurs r\u00e9els\u00a0: 10\u00a0milliards d\u2019entr\u00e9es\u00a0!<\/p>\n

Quand\u00a0:<\/strong> en 2024.<\/p>\n

Public concern\u00e9\u00a0: <\/strong>les utilisateurs du monde entier ne disposant pas de protection robuste<\/a>.<\/p>\n

RockYou2024 est le roi des fuites et une \u00e9pine dans le pied de tous ceux qui pensent que les pirates informatiques ne s\u2019int\u00e9ressent pas \u00e0 eux. En juillet\u00a02024, des cybercriminels ont divulgu\u00e9 une gigantesque collection de mots de passe sur un forum de piratage\u00a0: 9\u00a0948\u00a0575\u00a0739\u00a0entr\u00e9es uniques au total. Bien qu\u2019il s\u2019agisse d\u2019une compilation bas\u00e9e sur l\u2019ancienne fuite RockYou2021, RockYou2024 est toujours\u2026 impressionnante, pour ainsi dire.<\/p>\n

Notre expert, Alexey Antonov, a analys\u00e9 la violation et a constat\u00e9 que 83\u00a0% des mots de passe divulgu\u00e9s pouvaient \u00eatre pirat\u00e9s par un algorithme de d\u00e9chiffrage intelligent en moins d\u2019une heure<\/strong>, et que seuls 4\u00a0% d\u2019entre eux (328\u00a0millions) pouvaient \u00eatre consid\u00e9r\u00e9s comme robustes<\/strong>, c\u2019est-\u00e0-dire qu\u2019il aurait fallu plus d\u2019un an pour les d\u00e9chiffrer \u00e0 l\u2019aide d\u2019un algorithme intelligent. Pour en savoir plus sur le fonctionnement des algorithmes intelligents, consultez notre \u00e9tude sur la solidit\u00e9 des mots de passe<\/a>, qui, \u00e0 partir d\u2019une analyse de mots de passe d\u2019utilisateurs r\u00e9els divulgu\u00e9s sur le Dark Web, d\u00e9montre que nous sommes encore beaucoup trop nombreux \u00e0 nous montrer \u00e9tonnamment peu soucieux de la s\u00e9curit\u00e9 des mots de passe.<\/p>\n

Lors de l\u2019analyse de la derni\u00e8re fuite, Alexey a filtr\u00e9 toutes les entr\u00e9es non pertinentes et a utilis\u00e9 les 8,2\u00a0milliards de mots de passe restants, stock\u00e9s quelque part en texte clair<\/em>\u00a0!<\/p>\n

2.\u00a0\u00a0\u00a0 CAM4<\/h2>\n

En bref\u00a0:<\/strong> un serveur mal configur\u00e9 a expos\u00e9 11\u00a0milliards d\u2019entr\u00e9es de clients au domaine public \u2013 des informations sensibles d\u2019autant plus que CAM4 est\u2026 un site pour adultes\u00a0!<\/p>\n

Quand\u00a0:<\/strong> en 2020.<\/p>\n

Public concern\u00e9\u00a0:<\/strong> les utilisateurs du site pour adultes CAM4.<\/p>\n

Cette histoire est int\u00e9ressante pour deux raisons : les informations qui ont \u00e9t\u00e9 divulgu\u00e9es et la mani\u00e8re dont elles l\u2019ont \u00e9t\u00e9. Parmi les informations \u00ab\u00a0standard\u00a0\u00bb divulgu\u00e9es (nom, pr\u00e9nom, adresse email, historique des paiements, etc.) figuraient des informations beaucoup plus intimes : les pr\u00e9f\u00e9rences de genre et l\u2019orientation sexuelle. Les utilisateurs devaient communiquer ces informations lors de l\u2019inscription avant de pouvoir profiter du contenu de la plateforme de streaming pour adultes.<\/p>\n

La fuite a \u00e9t\u00e9 caus\u00e9e par une base de donn\u00e9es Elasticsearch non s\u00e9curis\u00e9e. Cependant, les choses n\u2019ont pas si mal tourn\u00e9 \u2013 et c\u2019est bien embarrassant\u00a0: si nous devions compiler tous les rapports de fuites li\u00e9s \u00e0 cette base de donn\u00e9es<\/a> dans un livre physique, nous aurions un v\u00e9ritable pav\u00e9 dans la mare, au sein duquel l\u2019histoire de CAM4 occuperait un petit mais important chapitre : \u00a0\u00bb La plus grande fuite de donn\u00e9es de l\u2019histoire qui n\u2019a jamais exist\u00e9\u00a0\u00bb. Heureusement, la base de donn\u00e9es a \u00e9t\u00e9 d\u00e9sactiv\u00e9e dans la demi-heure qui a suivi la d\u00e9couverte de l\u2019erreur, puis d\u00e9plac\u00e9e vers un r\u00e9seau local interne. Les donn\u00e9es personnelles des utilisateurs ont \u00e9t\u00e9 supprim\u00e9es.<\/p>\n

3.\u00a0\u00a0\u00a0 Yahoo<\/h2>\n

En bref\u00a0: <\/strong>une attaque de pirates informatiques a touch\u00e9 les trois milliards d\u2019utilisateurs de la plateforme, mais Yahoo ne l\u2019a admis que trois ans plus tard.<\/p>\n

Quand\u00a0:<\/strong> en 2012, 2013\u2026 ou \u00e9tait-ce en 2014\u00a0? M\u00eame Yahoo ne le sait pas avec certitude.<\/p>\n

Public concern\u00e9\u00a0: <\/strong>tous les utilisateurs de Yahoo.<\/p>\n

Il y a plus de dix ans maintenant, Yahoo a \u00e9t\u00e9 pirat\u00e9 (tout a commenc\u00e9 par un email de phishing), ce qui a donn\u00e9 lieu \u00e0 une s\u00e9rie de publications au sujet d\u2019une fuite de donn\u00e9es pr\u00e9sum\u00e9e. Les premiers rapports faisaient \u00e9tat de quelques centaines de millions de comptes pirat\u00e9s, puis d\u2019environ 500\u00a0millions<\/a>, et enfin, en 2017, \u00e0 la veille de l\u2019accord entre l\u2019entreprise et Verizon, il s\u2019est av\u00e9r\u00e9 que les trois milliards de comptes avaient bel et bien \u00e9t\u00e9 touch\u00e9s. Les pirates informatiques ont mis la main sur des noms, des adresses email, des dates de naissance et des num\u00e9ros de t\u00e9l\u00e9phone. Pire encore, ils ont pu acc\u00e9der aux comptes d\u2019utilisateurs qui, pendant des ann\u00e9es, n\u2019ont pas modifi\u00e9 leurs mots de passe. Vous comprenez maintenant pourquoi il est si important de modifier r\u00e9guli\u00e8rement vos mots de passe et de supprimer vos anciens profils<\/a>\u00a0?<\/p>\n

Cet incident est une fois de plus la preuve que m\u00eame les g\u00e9ants de la technologie ne parviennent pas toujours \u00e0 stocker correctement les donn\u00e9es de leurs utilisateurs. Dans le cas de Yahoo, les pirates informatiques ont trouv\u00e9 une base de donn\u00e9es de questions et r\u00e9ponses de s\u00e9curit\u00e9 non chiffr\u00e9es, et certains comptes ne disposaient d\u2019aucune authentification \u00e0 deux facteurs. La morale de l\u2019histoire est donc la suivante\u00a0: ne comptez pas sur les r\u00e9seaux sociaux ou les plateformes en ligne pour s\u00e9curiser vos comptes personnels. Cr\u00e9ez ou g\u00e9n\u00e9rez des mots de passe forts<\/a> et stockez-les dans Kaspersky Password Manager<\/a>. Et si vous craignez une fuite de donn\u00e9es, installez l\u2019une de nos solutions de s\u00e9curit\u00e9 pour particuliers<\/a>\u00a0: Kaspersky Standard<\/a>\u00a0et Kaspersky Plus<\/a>\u00a0vous permettent d\u2019indiquer toutes les adresses email que vous et votre famille utilisez pour vous connecter \u00e0 des services en ligne. L\u2019application v\u00e9rifie r\u00e9guli\u00e8rement ces adresses et signale toute violation de donn\u00e9es touchant les comptes qui y sont li\u00e9s.<\/p>\n

Dans Kaspersky Premium<\/a>, en plus d\u2019une liste d\u2019adresses email, vous pouvez ajouter des num\u00e9ros de t\u00e9l\u00e9phone\u00a0: ils sont g\u00e9n\u00e9ralement utilis\u00e9s pour identifier les utilisateurs de services en ligne plus sensibles, comme les banques. Notre application recherche ces num\u00e9ros et adresses dans toute nouvelle fuite de bases de donn\u00e9es et, si elle les d\u00e9tecte, elle vous avertit et vous conseille sur les mesures \u00e0 prendre (apprenez-en plus<\/a> sur la fa\u00e7on dont nous vous prot\u00e9geons contre les fuites de donn\u00e9es personnelles en ligne ou sur le Dark Web).<\/p>\n

4.\u00a0\u00a0\u00a0 UIDAI (Aadhaar)<\/h2>\n

En bref\u00a0:<\/strong> les donn\u00e9es biom\u00e9triques de presque tous les citoyens et r\u00e9sidents de l\u2019Inde ont \u00e9t\u00e9 mises en vente.<\/p>\n

Quand\u00a0:<\/strong> en 2018.<\/p>\n

Public concern\u00e9\u00a0: <\/strong>1,1\u00a0milliard de citoyens et r\u00e9sidents de l\u2019Inde.<\/p>\n

L\u2019Autorit\u00e9 indienne d\u2019identification unique (UIDAI) g\u00e8re le plus grand syst\u00e8me de bio-identification au monde, stockant les donn\u00e9es personnelles, les empreintes digitales et les photos de l\u2019iris de plus d\u2019un milliard de personnes en Inde.<\/p>\n

Alors que de nombreux pays dans le monde pr\u00e9voient seulement de mettre en \u0153uvre l\u2019identification biom\u00e9trique, l\u2019Inde a mis en place un tel syst\u00e8me depuis plus d\u2019une d\u00e9cennie d\u00e9j\u00e0. L\u2019UIDAI a \u00e9t\u00e9 cr\u00e9\u00e9e pour que chaque habitant de l\u2019Inde dispose d\u2019un num\u00e9ro d\u2019identit\u00e9 officiel unique, Aadhaar<\/a>.<\/p>\n

Mais en 2018, \u00e0 la suite d\u2019une s\u00e9rie de fuites de donn\u00e9es, des cybercriminels ont non seulement mis la main sur la base de donn\u00e9es, mais l\u2019ont vendue pour la modique somme de 500\u00a0roupies<\/a> (environ 6\u00a0dollars am\u00e9ricains au taux de change actuel). Une autre violation massive de donn\u00e9es s\u2019est produite en 2023, touchant<\/a> cette fois 815\u00a0millions d\u2019Indiens.<\/p>\n

Les banques et les services de police recommandent r\u00e9guli\u00e8rement aux victimes des fuites de d\u00e9sactiver l\u2019authentification biom\u00e9trique pour les services financiers. Mais ce n\u2019est pas une garantie de s\u00e9curit\u00e9, car leurs noms, num\u00e9ros de passeport, photos, empreintes digitales et autres informations sont probablement entre les mains de cybercriminels.<\/p>\n

5.\u00a0\u00a0\u00a0 Facebook<\/h2>\n

En bref\u00a0:<\/strong> l\u2019entreprise n\u2019a pas inform\u00e9 les utilisateurs d\u2019une violation de donn\u00e9es d\u00e9couverte deux ans auparavant.<\/p>\n

Quand\u00a0:<\/strong> en 2019.<\/p>\n

Public concern\u00e9\u00a0: <\/strong>533\u00a0millions d\u2019utilisateurs de Facebook.<\/p>\n

Plus personne ne s\u2019\u00e9tonne de voir les mots \u00ab\u00a0Facebook\u00a0\u00bb et \u00ab\u00a0fuite\u00a0\u00bb accol\u00e9s. La plateforme est r\u00e9guli\u00e8rement victime d\u2019attaques de pirates informatiques et de fuites internes. Cette faille \u2013 la plus importante de l\u2019histoire de l\u2019entreprise \u2013 a vu les noms, les num\u00e9ros de t\u00e9l\u00e9phone et les donn\u00e9es de localisation de 533 millions d\u2019utilisateurs tomber entre les mains de cybercriminels. Les donn\u00e9es ont ensuite \u00e9t\u00e9 publi\u00e9es sur un forum de piratage o\u00f9 tout le monde pouvait les t\u00e9l\u00e9charger gratuitement. Et pas seulement les donn\u00e9es de comptes d\u2019utilisateurs ordinaires, mais aussi celles de personnalit\u00e9s publiques<\/a>, dont le commissaire europ\u00e9en \u00e0 la justice Didier Reynders et le Premier ministre de l\u2019\u00e9poque (aujourd\u2019hui ministre des Affaires \u00e9trang\u00e8res), Xavier Bettel, du Luxembourg.<\/p>\n

Si vous pensez avoir \u00e9t\u00e9 touch\u00e9 par la fuite de donn\u00e9es de Facebook, utilisez notre outil Password Checker<\/a> pour savoir si votre mot de passe a \u00e9t\u00e9 compromis dans cette fuite ou dans d\u2019autres.<\/p>\n

Les donn\u00e9es ayant fait l\u2019objet d\u2019une fuite \u00e9taient valables pour 2018-2019, bien que les informations \u00e0 ce sujet ne soient apparues qu\u2019en 2021. Comment cela est-il arriv\u00e9\u00a0? En r\u00e9alit\u00e9, des pirates ont exploit\u00e9 la vuln\u00e9rabilit\u00e9 en 2019, et Facebook l\u2019a imm\u00e9diatement corrig\u00e9e<\/a>, mais a ensuite oubli\u00e9 d\u2019informer les utilisateurs de l\u2019incident (ou a pr\u00e9f\u00e9r\u00e9 ne pas le faire). En cons\u00e9quence, Meta a \u00e9t\u00e9 confront\u00e9e \u00e0 des critiques plus s\u00e9v\u00e8res, ainsi qu\u2019\u00e0 une lourde amende de 265\u00a0millions d\u2019euros<\/a> (~276\u00a0millions de dollars am\u00e9ricains en 2021).<\/p>\n

Que nous apprennent ces fuites\u00a0?<\/h2>\n

Toutes ces histoires ont un point commun : \u00ab\u00a0Les grandes entreprises technologiques aident ceux qui s\u2019aident eux-m\u00eames\u00a0\u00bb. Autrement dit, nous sommes les premiers responsables de la s\u00e9curit\u00e9 de nos donn\u00e9es, pas Facebook, ni Yahoo, ni m\u00eame les gouvernements. Prenez soin<\/a>\u00a0de vos comptes vous-m\u00eame, cr\u00e9ez ou g\u00e9n\u00e9rez des mots de passe forts, stockez-les dans un gestionnaire de mots de passe<\/a>\u00a0s\u00e9curis\u00e9, et soyez particuli\u00e8rement vigilant avec vos donn\u00e9es biom\u00e9triques.<\/p>\n