Ces dernières années, le nombre de données compromises n’a cessé d’augmenter. Les actualités sur les fuites et les piratages sont presque quotidiennes, et chez Kaspersky, nous continuons à utiliser beaucoup d’encre électronique pour vous informer de la nécessité d’une protection solide – aujourd’hui plus que jamais.
Aujourd’hui, nous replongeons dans l’histoire et évoquons (avec un frisson) les plus grandes et les plus graves fuites de données (DB) de tous les temps. Pour découvrir la quantité et le type d’informations qui ont été divulguées, qui a été concerné et bien plus encore, lisez la suite…
1. RockYou2024
En bref : des pirates informatiques ont collecté des données provenant de fuites antérieures et ont réalisé la plus grande compilation jamais réalisée de mots de passe d’utilisateurs réels : 10 milliards d’entrées !
Quand : en 2024.
Public concerné : les utilisateurs du monde entier ne disposant pas de protection robuste.
RockYou2024 est le roi des fuites et une épine dans le pied de tous ceux qui pensent que les pirates informatiques ne s’intéressent pas à eux. En juillet 2024, des cybercriminels ont divulgué une gigantesque collection de mots de passe sur un forum de piratage : 9 948 575 739 entrées uniques au total. Bien qu’il s’agisse d’une compilation basée sur l’ancienne fuite RockYou2021, RockYou2024 est toujours… impressionnante, pour ainsi dire.
Notre expert, Alexey Antonov, a analysé la violation et a constaté que 83 % des mots de passe divulgués pouvaient être piratés par un algorithme de déchiffrage intelligent en moins d’une heure, et que seuls 4 % d’entre eux (328 millions) pouvaient être considérés comme robustes, c’est-à-dire qu’il aurait fallu plus d’un an pour les déchiffrer à l’aide d’un algorithme intelligent. Pour en savoir plus sur le fonctionnement des algorithmes intelligents, consultez notre étude sur la solidité des mots de passe, qui, à partir d’une analyse de mots de passe d’utilisateurs réels divulgués sur le Dark Web, démontre que nous sommes encore beaucoup trop nombreux à nous montrer étonnamment peu soucieux de la sécurité des mots de passe.
Lors de l’analyse de la dernière fuite, Alexey a filtré toutes les entrées non pertinentes et a utilisé les 8,2 milliards de mots de passe restants, stockés quelque part en texte clair !
2. CAM4
En bref : un serveur mal configuré a exposé 11 milliards d’entrées de clients au domaine public – des informations sensibles d’autant plus que CAM4 est… un site pour adultes !
Quand : en 2020.
Public concerné : les utilisateurs du site pour adultes CAM4.
Cette histoire est intéressante pour deux raisons : les informations qui ont été divulguées et la manière dont elles l’ont été. Parmi les informations « standard » divulguées (nom, prénom, adresse email, historique des paiements, etc.) figuraient des informations beaucoup plus intimes : les préférences de genre et l’orientation sexuelle. Les utilisateurs devaient communiquer ces informations lors de l’inscription avant de pouvoir profiter du contenu de la plateforme de streaming pour adultes.
La fuite a été causée par une base de données Elasticsearch non sécurisée. Cependant, les choses n’ont pas si mal tourné – et c’est bien embarrassant : si nous devions compiler tous les rapports de fuites liés à cette base de données dans un livre physique, nous aurions un véritable pavé dans la mare, au sein duquel l’histoire de CAM4 occuperait un petit mais important chapitre : » La plus grande fuite de données de l’histoire qui n’a jamais existé ». Heureusement, la base de données a été désactivée dans la demi-heure qui a suivi la découverte de l’erreur, puis déplacée vers un réseau local interne. Les données personnelles des utilisateurs ont été supprimées.
3. Yahoo
En bref : une attaque de pirates informatiques a touché les trois milliards d’utilisateurs de la plateforme, mais Yahoo ne l’a admis que trois ans plus tard.
Quand : en 2012, 2013… ou était-ce en 2014 ? Même Yahoo ne le sait pas avec certitude.
Public concerné : tous les utilisateurs de Yahoo.
Il y a plus de dix ans maintenant, Yahoo a été piraté (tout a commencé par un email de phishing), ce qui a donné lieu à une série de publications au sujet d’une fuite de données présumée. Les premiers rapports faisaient état de quelques centaines de millions de comptes piratés, puis d’environ 500 millions, et enfin, en 2017, à la veille de l’accord entre l’entreprise et Verizon, il s’est avéré que les trois milliards de comptes avaient bel et bien été touchés. Les pirates informatiques ont mis la main sur des noms, des adresses email, des dates de naissance et des numéros de téléphone. Pire encore, ils ont pu accéder aux comptes d’utilisateurs qui, pendant des années, n’ont pas modifié leurs mots de passe. Vous comprenez maintenant pourquoi il est si important de modifier régulièrement vos mots de passe et de supprimer vos anciens profils ?
Cet incident est une fois de plus la preuve que même les géants de la technologie ne parviennent pas toujours à stocker correctement les données de leurs utilisateurs. Dans le cas de Yahoo, les pirates informatiques ont trouvé une base de données de questions et réponses de sécurité non chiffrées, et certains comptes ne disposaient d’aucune authentification à deux facteurs. La morale de l’histoire est donc la suivante : ne comptez pas sur les réseaux sociaux ou les plateformes en ligne pour sécuriser vos comptes personnels. Créez ou générez des mots de passe forts et stockez-les dans Kaspersky Password Manager. Et si vous craignez une fuite de données, installez l’une de nos solutions de sécurité pour particuliers : Kaspersky Standard et Kaspersky Plus vous permettent d’indiquer toutes les adresses email que vous et votre famille utilisez pour vous connecter à des services en ligne. L’application vérifie régulièrement ces adresses et signale toute violation de données touchant les comptes qui y sont liés.
Dans Kaspersky Premium, en plus d’une liste d’adresses email, vous pouvez ajouter des numéros de téléphone : ils sont généralement utilisés pour identifier les utilisateurs de services en ligne plus sensibles, comme les banques. Notre application recherche ces numéros et adresses dans toute nouvelle fuite de bases de données et, si elle les détecte, elle vous avertit et vous conseille sur les mesures à prendre (apprenez-en plus sur la façon dont nous vous protégeons contre les fuites de données personnelles en ligne ou sur le Dark Web).
4. UIDAI (Aadhaar)
En bref : les données biométriques de presque tous les citoyens et résidents de l’Inde ont été mises en vente.
Quand : en 2018.
Public concerné : 1,1 milliard de citoyens et résidents de l’Inde.
L’Autorité indienne d’identification unique (UIDAI) gère le plus grand système de bio-identification au monde, stockant les données personnelles, les empreintes digitales et les photos de l’iris de plus d’un milliard de personnes en Inde.
Alors que de nombreux pays dans le monde prévoient seulement de mettre en œuvre l’identification biométrique, l’Inde a mis en place un tel système depuis plus d’une décennie déjà. L’UIDAI a été créée pour que chaque habitant de l’Inde dispose d’un numéro d’identité officiel unique, Aadhaar.
Mais en 2018, à la suite d’une série de fuites de données, des cybercriminels ont non seulement mis la main sur la base de données, mais l’ont vendue pour la modique somme de 500 roupies (environ 6 dollars américains au taux de change actuel). Une autre violation massive de données s’est produite en 2023, touchant cette fois 815 millions d’Indiens.
Les banques et les services de police recommandent régulièrement aux victimes des fuites de désactiver l’authentification biométrique pour les services financiers. Mais ce n’est pas une garantie de sécurité, car leurs noms, numéros de passeport, photos, empreintes digitales et autres informations sont probablement entre les mains de cybercriminels.
5. Facebook
En bref : l’entreprise n’a pas informé les utilisateurs d’une violation de données découverte deux ans auparavant.
Quand : en 2019.
Public concerné : 533 millions d’utilisateurs de Facebook.
Plus personne ne s’étonne de voir les mots « Facebook » et « fuite » accolés. La plateforme est régulièrement victime d’attaques de pirates informatiques et de fuites internes. Cette faille – la plus importante de l’histoire de l’entreprise – a vu les noms, les numéros de téléphone et les données de localisation de 533 millions d’utilisateurs tomber entre les mains de cybercriminels. Les données ont ensuite été publiées sur un forum de piratage où tout le monde pouvait les télécharger gratuitement. Et pas seulement les données de comptes d’utilisateurs ordinaires, mais aussi celles de personnalités publiques, dont le commissaire européen à la justice Didier Reynders et le Premier ministre de l’époque (aujourd’hui ministre des Affaires étrangères), Xavier Bettel, du Luxembourg.
Si vous pensez avoir été touché par la fuite de données de Facebook, utilisez notre outil Password Checker pour savoir si votre mot de passe a été compromis dans cette fuite ou dans d’autres.
Les données ayant fait l’objet d’une fuite étaient valables pour 2018-2019, bien que les informations à ce sujet ne soient apparues qu’en 2021. Comment cela est-il arrivé ? En réalité, des pirates ont exploité la vulnérabilité en 2019, et Facebook l’a immédiatement corrigée, mais a ensuite oublié d’informer les utilisateurs de l’incident (ou a préféré ne pas le faire). En conséquence, Meta a été confrontée à des critiques plus sévères, ainsi qu’à une lourde amende de 265 millions d’euros (~276 millions de dollars américains en 2021).
Que nous apprennent ces fuites ?
Toutes ces histoires ont un point commun : « Les grandes entreprises technologiques aident ceux qui s’aident eux-mêmes ». Autrement dit, nous sommes les premiers responsables de la sécurité de nos données, pas Facebook, ni Yahoo, ni même les gouvernements. Prenez soin de vos comptes vous-même, créez ou générez des mots de passe forts, stockez-les dans un gestionnaire de mots de passe sécurisé, et soyez particulièrement vigilant avec vos données biométriques.
- Ne réutilisez pas vos mots de passe. Si vous êtes du genre « un seul mot de passe pour tous les usages » et que vous utilisez Internet depuis au moins quelques années, nous avons une mauvaise nouvelle pour vous (dans le lien).
- Vérifiez si vos mots de passe n’ont pas été compromis. Si vous disposez de notre protection, vous pouvez utiliser notre outil de vérification des fuites de données, indiquer une liste d’adresses email et vérifier vos comptes utilisateurs. Les utilisateurs de Kaspersky Premium ont également la possibilité de vérifier leur numéro de téléphone à l’aide de la fonctionnalité Protection contre le vol d’identité. Les applications vérifient automatiquement si ces informations ont été divulguées dans le cadre de nouvelles fuites. Et dans notre gestionnaire de mots de passe, sélectionnez simplement Vérification du mot de passe dans le menu ou cliquez sur l’icône en forme de clé dans la barre des tâches pour que tous les mots de passe stockés soient vérifiés du point de vue de leur force, de leur caractère unique et de la présence de fuites. Tout le monde peut utiliser notre service de vérification de mot de passe.
- Utilisez l’authentification à deux facteurs (2FA) dans la mesure du possible.
- Ne stockez pas vos mots de passe dans les navigateurs. Utilisez un gestionnaire de mots de passe pour générer des mots de passe uniques et cryptographiquement robustes pour tous les comptes importants. Vous n’aurez alors plus qu’à concevoir et à mémoriser un seul mot de passe principal, qui servira de clé unique pour tous les autres mots de passe. Celui-ci protégera et chiffrera votre coffre-fort numérique et toute autre donnée importante.