Chaque année des millions de gens sont victimes de vols de données. Pour la plupart les résultats sont tristes : les hackers vendent les informations bancaires des utilisateurs sur des sites souterrains en ligne, les entreprises se retrouvent à devoir payer des sommes d’argent monstrueuses pour rembourser les pertes de leurs clients et ces derniers perdent de l’argent.
En cette journée internationale de la protection des données, nous aimerions vous parler des incidents de vol de données les plus marquants de 2014 qui ont mené à la diffusion des informations personnelles des clients victimes. Nous avons également ajouté quelques faits intéressants sur le coût des données et la réputation en ligne.
Les détaillants en danger
Les énormes réseaux des détaillants sont une réelle aubaine pour les hackers car ils renferment des millions de données sur leurs clients. L’année 2014 n’a pas fait exception. Jetons un œil aux incidents les plus marquants.
Le même groupe aurait piraté (mais cela reste à préciser) trois énormes réseaux de détaillants : le géant Target (70 millions de fichiers avec des informations bancaires, des numéros de téléphone, des e-mails et d’autres données volées), le détaillant spécialisé en produits de beauté Sally Beauty (25 000 fichiers volés) et l’enseigne spécialisée en rénovation, Home Depot (les données bancaires de 56 millions de cartes et 53 millions d’e-mails volés).
56MM payment cards at risk in Home Depot data breach https://t.co/4sLyGWnLCU pic.twitter.com/pBNoIJwa3J
— Eugene Kaspersky (@e_kaspersky) September 19, 2014
Le vol des données de Sally Beauty a pris une tournure inattendue quand les pirates eux-mêmes se sont faits piratés. Les données volées ont été mises en vente sur plusieurs plateformes souterraines en ligne. Peu de temps après cela, quelqu’un a piraté et endommagé l’un des sites. Le » gentil pirate » a laissé un message et une vidéo provenant du film Men in Black sur la page d’accueil du site.
Une autre fuite de données privées a beaucoup fait parler d’elle dans le secteur des détaillants : le vol immense d’identifiants et de mots de passe dont a été victime eBay et qui a fait près de 145 millions de victimes. La société a d’ailleurs dû faire face un procès. Selon PC World, les plaintes du groupe proposé excédaient les 5 millions de dollars, coûts et intérêts non compris.
eBay has confirmed a massive leak of personal data, denied any financial data accessed. http://t.co/4qcwvrUvwF
— Kaspersky (@kaspersky) May 22, 2014
Aucun secteur n’a été épargné
Les banques, les entreprises en ligne, les fabricants de matériel célèbres, les corporations de télécommunications, les agences gouvernementales – tout le monde est en danger. Vous avez certainement entendu parler du vol de données de Sony Pictures ou des photos de célébrités piratées qui sont les incidents les plus connus de 2014. C’est pourquoi nous allons vous parler d’autres cas plus précis.
http://instagram.com/p/oHjWPhP0KA/
Partout dans le monde, des banques ont été compromises par des hackers. Dès le premier mois de l’année, les données bancaires de 20 millions de consommateurs ont été volées à la banque Korea Credit Bureau avec l’aide d’un employé de la banque.
En février, la banque britannique Barclays a à son tour été touchée : 27 000 fichiers ont été volés et vendus par des traders de la City malhonnêtes. La crédibilité de la banque a donc pris un sacré coup et elle a dû dédommager les milliers de clients dont les données volées sur le marché noir.
En juin, les données privées de 80 millions de clients de la banque américaine JP Morgan ont également été compromises. La banque n’a rien dit pendant plusieurs mois et n’a reporté l’incident qu’en octobre 2014.
Après un piratage majeur qui a mené à l’exposition des données de 27 millions de clients (80% de la population du pays), les autorités coréennes évaluent la possibilité de changer complètement le système informatique responsable des numéros nationaux d’identité.
Les entreprises de télécommunications ont également eu une année difficile. Le groupe de télécommunications français, Orange, a été piraté deux fois au cours des trois premiers mois de 2014, entrainant le vol des données de 1,3 millions de personnes. Pire encore, les hackers ont compromis une plateforme de logiciel que la société utilisait afin d’envoyer des e-mails promotionnels et des SMS aux clients qui avaient accepté de les recevoir. La prochaine fois les utilisateurs y repenseront certainement à deux fois avant de s’inscrire.
En octobre, la société de télécommunications américaine, AT&T a dû licencier un employé trop curieux qui avait obtenu de manière illégale les informations des comptes de 1600 clients et qui aurait pu voir leurs numéros de sécurité sociale et leurs numéros de permis de conduire.
Little has changed from the @Gawker #breach to this year's list of bad #passwords https://t.co/RrsCXCy7H8 pic.twitter.com/KQeai3snkS
— Eugene Kaspersky (@e_kaspersky) January 23, 2015
C’est également en octobre que la chance a tourné pour Dropbox. 7 millions de fichiers d’utilisateurs ont été diffusés sur le Web. L’entreprise a affirmé que les identifiants avaient été diffusés par des sites ou des applications tiers. Par conséquent, même si les entreprises font des efforts pour protéger leurs serveurs, elles ne peuvent rien faire face au manque d’expertise des utilisateurs. Il y aura des fuites de données tant que des combinaisons telles que » 123456 » seront les mots de passe les plus utilisés.
Combien coûtent les données
Bien que tout le monde vende et achète des informations, le prix d’un seul fichier est relativement bas. Par exemple, des fichiers sur les clients du service de stationnement d’aéroport, Park ‘N Fly, ont été vendus entre 6 et 9 dollars par carte, et les données comprenaient le suivant : le numéro de carte, la date d’expiration, le code de vérification, ainsi que le nom du propriétaire de la carte, son adresse et son numéro de téléphone. Les données des clients de la Barclays ont été vendues un peu plus cher jusqu’à 76 dollars (66,85€) par fichier.
Le prix d’une réputation coûte un peu plus cher surtout quand on arrive au procès. Barclays a offert 770 dollars (677,40€) aux clients dont les données avaient été dérobées mais nombreux d’entre eux ont trouvé cette somme bien maigre. La banque a dû doubler cette somme pour ses clients qui continuaient de se plaindre et demandaient plus. Certains d’entre eux ont obtenu jusqu’à 1520 dollars (1337,20€).
En plus de devoir dédommager ses clients, les sociétés doivent réaliser d’autres dépenses. Par exemple, Home Depot a dépensé 43 millions de dollars pour gérer les conséquences d’un vol de données en un trimestre. De l’argent à dû être dépensé dans l’enquête, pour faire appel aux services de protection contre le vol d’identité, pour augmenter le nombre d’employés sur les plateformes téléphoniques ainsi que pour d’autres services judiciaires et professionnels.
Data Privacy Day was first celebrated in Europe on Jan 28, 2007. Learn more http://t.co/SxCL2DLjhn #DPD15 pic.twitter.com/GETSHdCJex
— Kaspersky (@kaspersky) January 26, 2015
Nous aimerions enfin vous rappeler que le 28 janvier, la journée internationale de la protection des données est célébrée aux États-Unis, au Canada et dans 27 pays européens. N’hésitez pas à rejoindre cette célébration en réfléchissant aux méthodes qui vous permettraient d’améliorer la sécurité de vos données personnelles. Par exemple, en commençant par utiliser des mots de passe fiables.