4 des pires violations de données de tous les temps
Depuis le début de la prolifération des données à grande échelle au début des années 2000, il y a eu plus de 4000 violations de données de grande envergure, avec près d'un milliard de données d'individus ayant été divulguées ou volées jusqu'à présent.
Les violations de données sont dangereuses non seulement en raison de leur effet sur la vie privée des utilisateurs, mais aussi parce qu'elles peuvent finir par être la différence entre la vie et la mort d'une entreprise. L'importante perte financière, ainsi que la perte d'image causée par une violation de données, est un gouffre que peu d'entreprises peuvent franchir avec succès.
Aujourd'hui, examinons les pires violations de données de l'histoire et leurs implications.
1. Marriott International 2018: serveurs compromis
Le piratage derrière cette violation de données – l'une des plus insidieuses de cette liste – a commencé en 2014, lorsque les serveurs de la marque Starwood actuelle de Marriot ont été compromis. Alors que Starwood était une entité indépendante à l'époque, elle a été acquise par Marriot en 2016 avec ses serveurs d'enregistrement compromis encore inconnus.
Ce piratage était particulièrement troublant en raison de la nature des données volées. Les informations personnelles divulguées de près de 500 millions de clients comprenaient des noms, des adresses, des numéros de carte de crédit, des numéros de téléphone, ainsi que des prix plus rares pour les pirates informatiques tels que les numéros de passeport, les lieux de voyage et les dates de voyage personnelles des clients.
Marriott International a fini par faire face à un recours collectif et a vu une baisse instantanée de 5,6% de sa valeur nette à la suite de la violation. Au début de 2020, il avait versé près de 350 millions de dollars de compensation aux utilisateurs dont les données avaient été exposées.
2. Facebook 2019: les extrémités libres des protocoles de sécurité
En 2019, Facebook a souffert de quelques incidents de sécurité ridicules qui ont collectivement révélé la vulnérabilité du plus grand réseau social au monde.
La première partie impliquait une fuite de près de 50 millions d'informations d'identification d'utilisateurs Instagram en ligne. Les données utilisateur, stockées dans un fichier en clair sur un serveur Web accessible par des jetons Web, n'étaient rien d'autre qu'une sélection facile pour les groupes de pirates sophistiqués par lesquels Facebook est généralement ciblé.
La prochaine violation de données, plus complexe, a vu plus de 540 millions d'enregistrements d'utilisateurs de Facebook exposés publiquement sur le service de cloud computing d'Amazon. Deux sites tiers («At the Pool» et «Cultura Colectiva») stockaient des informations utilisateur liées à leurs comptes Facebook dans des bases de données non protégées sur les serveurs Web d'Amazon.
Cela signifiait que quelqu'un essayant d'accéder à la base de données At the Pool ou Cultura accédait par inadvertance aux données de Facebook via une faille de sécurité. Les bases de données exposées contenaient des numéros de téléphone personnels, des identifiants Facebook et des mots de passe, ainsi que des informations démographiques sensibles telles que le sexe et l'orientation sexuelle.
Parallèlement à une légère baisse des performances boursières de Facebook, la nouvelle des débâcles de violation de données de 2019 a aggravé l'opinion publique de Facebook et alimenté les enquêtes gouvernementales sur la manière dont l'entreprise gère ses données utilisateur.
3. 2019 First American Financial Corporation: données à la hausse
Dans cette violation de données causée par une faille d'authentification, près de 885 millions de documents financiers ont été divulgués au total.
En termes simples, First American a stocké les enregistrements sensibles de ses utilisateurs en utilisant des liens Web uniques et difficiles à deviner. Il n'y avait aucune protection par mot de passe ni aucun cryptage des données. Si vous aviez le temps et les ressources nécessaires pour deviner un lien Web, vous pourriez accéder instantanément à un enregistrement sur les serveurs de l'entreprise. Les pirates informatiques, en automatisant le processus de génération de ces liens Web – qui suivaient un certain modèle – ont réussi à accéder à presque toutes les informations client de First American.
Cette violation de données est particulièrement tristement célèbre pour la sensibilité des données qu'elle a divulguées. Lors de la brèche, les pirates ont eu accès aux relevés bancaires, aux dossiers hypothécaires et fiscaux, aux numéros de sécurité sociale et aux images de permis de conduire.
En raison de la violation de données, l'entreprise a non seulement perdu une bonne partie de sa base de consommateurs, mais a également été la cible d'un recours collectif. Actuellement, il fait également l'objet d'une enquête de la part des régulateurs pour violations des lois qui obligent les banques et autres sociétés de services financiers à mettre en œuvre et à maintenir des protocoles de cybersécurité.
4. 2013 Yahoo: Désastre non détecté
Dernier point mais non le moindre, le titre indésirable mais bien mérité de la pire violation de données jamais vue au monde revient à cet événement de 2013, en grande partie parce qu'il a réussi à ne pas être détecté pendant près de trois ans.
En septembre 2016, Yahoo a annoncé que les informations de ses 3 milliards de comptes utilisateurs avaient été volées par des pirates informatiques trois ans auparavant en 2013. La société n'a pu détecter la violation que lorsqu'elle a vu ses données utilisateur être vendues dans des forums et des marchés de pirates souterrains.
Dans ce qui a été supposé être un piratage soutenu par des groupes de pirates informatiques russes, des données telles que des noms, des adresses électroniques, des numéros de téléphone, des dates de naissance, des mots de passe cryptés et, dans certains cas, même des questions de sécurité ont été volées.
La fuite de ces informations a été désastreuse non seulement parce qu'elle a permis aux pirates d'accéder aux comptes Yahoo, mais aussi parce qu'elle a permis aux utilisateurs d'accéder à leurs banques, à leurs profils sur les réseaux sociaux, à d'autres services financiers, à leurs amis et à leur famille.
Pour aggraver les choses, plus de 150 000 comptes gouvernementaux et militaires des États-Unis ont été parmi les victimes de la violation de données. Malheureusement pour Yahoo, cette nouvelle n'aurait pas pu arriver à un pire moment. Il n'a fallu que deux jours avant la signature de l'acquisition de Yahoo par Verizon lorsque les détails de la pire violation de données de l'entreprise ont fait la une des journaux.
Non seulement l'événement a jeté un nuage d'incertitude sur l'avenir de l'accord, mais a également contraint Yahoo à effectuer des changements organisationnels et structurels drastiques avant de pouvoir se considérer comme digne du marché. Finalement, l'accord a été repoussé de près d'un an et l'incident a fait chuter le prix de vente de Yahoo de près de 350 millions de dollars.
Yahoo a également fait face à 23 procès très médiatisés et à plusieurs milliers de plus petits par ses utilisateurs. Il a finalement payé près de 150 millions de dollars en paiements et compensations juridiques.
Ce que vous pouvez apprendre des pires violations de données de tous les temps
Aussi terrifiants et troublants qu’ils puissent être, ces incidents ne sont que la pointe de l’iceberg. Alors que les entreprises responsables de la perte de données utilisateur peuvent faire face à des conséquences à court terme, elles peuvent éventuellement se rétablir en regagnant la confiance du public et en réparant leurs pertes financières.
L'impact sur les utilisateurs, cependant, pourrait être plus négatif et à long terme. Tant que les données des utilisateurs seront disponibles gratuitement sur les forums et les marchés clandestins, les gens continueront d'être la proie du vol d'identité, du vol de banque et même du chantage. Avec le dark web décentralisé, il y aura forcément une abondance de telles plates-formes dans un avenir prévisible.
L'ironie d'avoir la commodité d'une expérience en ligne hautement personnalisée est que nos données les plus personnelles et les plus importantes sont souvent à la protection de parfaits inconnus.
La meilleure façon de protéger les données des utilisateurs n'est pas de les confier couche après couche de chiffrement ou de pare-feu, mais de gérer de manière responsable ses propres informations privées – surveiller et réguler les informations que nous révélons, et où nous les révélons.