Les fuites de données représentent un grave danger pour les entreprises, et pour la vie privée de leurs clients. Découvrez tout ce que vous devez savoir à ce sujet : les causes, les conséquences, les différentes catégories et les méthodes possibles pour se protéger de ce fléau moderne.
Qu’est-ce qu’une fuite de données ?
Une fuite de données est l'exposition de données sensibles sur le web ou physiquement. Les informations en fuite peuvent être exploitées par les cybercriminels.
On distingue deux principaux types de fuites de données : la Data Breach est le fruit d'une cyberattaque, et le Data Leak résulte d'un accident. Dans les deux cas, les conséquences peuvent être catastrophiques pour les finances et la réputation d'une entreprise.
Avec l'essor du Cloud Computing, une nouvelle catégorie de fuites de données a fait son apparition : le Cloud Leak. Ce terme désigne l'exposition de données en provenance d'un service de stockage Cloud comme Amazon Web Service S3. Ces incidents sont très souvent liés à des erreurs humaines ou à une mauvaise configuration. Les dépôts GitHub peuvent aussi faire l'objet de fuite.
Lors d'une fuite de données, il est difficile de savoir si un tiers a accédé aux informations avant que le problème soit découvert. Des personnes malveillantes et des criminels peuvent s'emparer des données pour les vendre, mais elles peuvent aussi être consultées par une entreprise concurrente pour l'espionnage industriel.
Qu'est-ce qu'une donnée sensible ?
Lors d'une fuite de données, les cybercriminels recherchent principalement des Informations Personnelles Identifiables ou PII. Ce type de données regroupe les numéros de sécurité sociale, les numéros de carte de crédit, le nom, ou tout autre élément permettant de remonter à l'identité d'une personne. En s'emparant des PII d'une personne, le cybercriminel est en mesure d'usurper son identité.
Les données liées à la santé sont également très convoitées par les hackers. Il s'agit de toutes les informations liées à la santé physique ou mentale d'un individu.
La plupart des entreprises conservent des données sur leurs clients. Il peut s'agir d'informations sur l'identité (nom, adresse, numéro de téléphone, adresse email, nom d'utilisateur, mot de passe...), d'informations sur l'activité (historique des commandes et paiements, habitudes d'achat...) ou de coordonnées bancaires (numéro de carte, code CVV, date d'expiration...).
Chaque secteur d'activité collecte aussi des données spécifiques. Les banques ont des données financières, les hôpitaux des enregistrements médicaux et les gouvernements détiennent des documents sensibles. En cas de fuite, toutes ces informations risquent d'être exposées.
Outre les données liées à leurs clients, les entreprises peuvent aussi laisser échapper des informations comme les communications internes (mémos, emails...), les métriques (statistiques de performances, prévisions...) ou sur la stratégie. Si elles tombent entre les mains d'un concurrent, ces données peuvent lui conférer un précieux avantage.
Bien entendu, l'intérêt pour ce type de données est proportionnel à l'importance de l'entreprise. Fin 2021, un hacker a par exemple publié le code source de la plateforme Twitch suite à une fuite.
Les secrets commerciaux peuvent aussi être exposés. C'est le cas des informations sur les produits et services existants ou à venir, des technologies propriétaires, ou des méthodes commerciales.
Quelles sont les causes des fuites de données ?
Pour comprendre les causes des fuites de données, il faut comprendre la façon dont ces informations sont générées, manipulées et utilisées. Toutes les entreprises collectent aujourd'hui des données, et assurer leur sécurité est une tâche très difficile.
Les erreurs de processus, le manque de communication ou la méconnaissance des règles de cybersécurité peuvent facilement mener à des fuites. Il s'agit aujourd'hui d'un problème prioritaire pour les organisations de tous secteurs.
Le big data apporte de nombreux avantages. Les données numériques peuvent être reproduites à bas coût, et sont bien plus pratiques que des archives papier. Il est par ailleurs possible de les analyser pour en tirer de précieuses informations.
Néanmoins, une fuite peut être désastreuse. Il est important d'adopter des outils de prévention et de récupération en cas d'incidents.
Les données sont copiées et circulent au sein de l'organisation, amplifiant au passage la surface d'attaque et le risque de fuite. Même si votre entreprise adopte les bons outils de sécurité, les données peuvent être exposées à cause d'un tiers moins prévoyant le long de la chaîne.
Une fuite de données peut aussi être le fruit d'une cyberattaque. En attaquant un smartphone, un ordinateur ou un service Cloud, un hacker peut dérober les données stockées sur l'appareil.
Les cybercriminels ne sont pas tous des génies de l'informatique et certains exploitent l'ingénierie sociale. Le phishing ou hameçonnage consiste à tromper une personne pour l'inciter à fournir des données personnelles, ou à télécharger un malware. Il peut s'agir par exemple d'un email usurpant l'identité ou d'un proche, ou d'une fausse boutique en ligne. L'imagination des criminels 2.0 n'a pas de limite.
La menace peut provenir de l'extérieur, mais aussi de l'intérieur. Un employé mécontent ou licencié détenant toujours ses identifiants pourra toujours accéder aux données et aux systèmes sensibles. Pour assouvir son désir de vengeance, il pourra s'emparer d'informations sensibles et les exposer.
Un employé peut provoquer une fuite de données par inadvertance, par exemple en perdant son ordinateur ou en sauvegardant des données à un emplacement mal sécurisé. Les erreurs de configuration Cloud sont aussi une cause fréquente.
Comment les cybercriminels exploitent-ils les données fuites ?
Il existe quatre principales façons pour les hackers d'exploiter les données en fuite. La première méthode est l'ingénierie sociale. Le hameçonnage, ou phishing, consiste à envoyer de faux emails à sa proie en se basant sur les données pour usurper l'identité d'une figure d'autorité.
Lors d'une fuite, les informations personnelles exposées peuvent ensuite être exploitées pour orchestrer des attaques d'ingénierie sociale. Les hackers peuvent aisément se faire passer pour une personne.
Le deuxième cas d'usage est le doxxing. Cette pratique consiste à acquérir et à publier des informations sur une personne contre sa volonté. L'objectif peut être l'intimidation, le harcèlement, le stalking, la vengeance, mais aussi une action politique.
Les données en fuite peuvent aussi être utilisées à des de surveillance et de renseignements. De même, les politiciens peuvent utiliser les données pour leur campagne électorale et les entreprises pour attirer des clients.
Enfin, les fuites de données peuvent être provoquées dans l'unique but de nuire à une entreprise, à un gouvernement ou à un individu. La victime devra faire face aux conséquences et réparer les dégâts causés.
Quelles sont les conséquences d'une fuite de données ?
La moindre fuite de données personnelles, telles que de simples adresses email, peut avoir un lourd impact sur la réputation d'une entreprise. La confiance de la clientèle risque d'être perdue à jamais.
Une fuite de données peut aussi conduire à une fraude de carte de crédit, si les cybercriminels parviennent à s'emparer des informations nécessaires. Ils sont alors en mesure de vider le compte bancaire de la victime.
Les données sont très souvent vendues sur le Dark Web. De nombreux cybercriminels se spécialisent dans la recherche d'instances Cloud mal sécurisées ou de bases de données vulnérables et sensibles. Ces informations peuvent ensuite être vendues à des fins d'usurpation d'identité, de spam ou de hameçonnage.
Un criminel peut aussi exploiter les données pour l'extorsion. Il est par exemple possible de menacer une entreprise de dévoiler ses données si elle ne paye pas de rançon.
Enfin, les concurrents peuvent profiter d'une fuite de données pour enlever à l'entreprise tout avantage compétitif. La liste de clients, les secrets commerciaux, la stratégie ou les ressources peuvent être exposés.
Quelques exemples de fuites de données
Les fuites de données se comptent déjà par milliers, mais leur nombre ne cesse d'augmenter au fil du temps. Leurs conséquences s'aggravent aussi de façon exponentielle, et les pires "Data Leaks" de l'histoire sont survenus ces dernières années.
En juillet 2019, un hacker parvient à contourner la sécurité de Capital One et accède aux numéros de sécurité sociale de 140 000 américains, 80 000 numéros de comptes bancaires associés, et environ 1 million de numéros d'assurance sociale de Canadiens. Au total, 106 millions d'utilisateurs de cartes de crédit aux États-Unis et au Canada ont été impactés.
Une autre fuite marquante est survenue en novembre 2018. La chaîne d'hôtels Marriott Internationale a été piratée par le biais de sa base de données Starwood. Les informations personnelles de près de 383 millions de clients ont été exposées, incluant leurs noms, numéros de téléphone, adresses mail, dates de naissance et numéros de passeport.
En 2017, plus de 145 millions d'Américains ont été affectés par la fuite de données Equifax. Leurs noms, numéros de sécurité sociale, dates de naissance, numéros de permis de conduire et les numéros de près de 200 000 cartes de crédit ont été exposés.
Les données de plusieurs dizaines de millions de Français, capturées sur le réseau social Facebook, sont en vente sur le Dark Web. Peu à peu, les personnes n'ayant aucune donnée personnelle en fuite semblent devenir l'exception.
Les secteurs les plus touchés par les fuites de données sont la santé, l'éducation, la finance et les gouvernements. Cette prévalence s'explique par le fait que ces entreprises manipulent des données sensibles.
Que faire en cas de fuite de données ?
Si vous êtes une entreprise victime de fuite de données, il est très important de remédier rapidement au problème. La vulnérabilité doit être corrigée, et les données doivent être retirées du web par tous les moyens. La loi comme le RGPD oblige aussi à avertir immédiatement les clients concernés et les autorités de protection des données comme la CNIL.
Si vous êtes un particulier, vous pouvez vérifier si vos données sont en fuite à l'aide d'un site web comme Firefox Monitor ou HaveIBeenPwned. Si vos coordonnées bancaires sont en fuite, contactez immédiatement votre banque pour faire opposition sur votre carte ou changer les numéros de votre compte.
Modifiez aussi directement les mots de passe de tous vos comptes sur le web. Il est très important d'utiliser un mot de passe unique et complexe pour chaque compte, et d'activer l'authentification multifacteurs chaque fois que possible. Un logiciel de type gestionnaire de mot de passe peut être très utile, en vous évitant d'avoir à retenir ou à noter chaque identifiant.
Comment se protéger contre les fuites de données ?
Il existe différents recours pour se protéger contre les fuites de données. Dans chaque industrie, il existe des standards et des lignes directrices comme le PCI DSS, la HIPAA ou la FERPA. En Europe, le RGPD aide aussi les entreprises à adopter les meilleures pratiques de protection des données.
Des analyses doivent être menées régulièrement pour détecter les éventuelles failles de sécurité de l'entreprise et les corriger. Les tests d'intrusion permettent aussi de simuler une attaque pour vérifier les défenses.
Il est essentiel de veiller à la bonne configuration des services de stockage Cloud. Un "bucket" mal sécurisé risque d'exposer les données sensibles. Les contrôles de processus peuvent être automatisés pour une fiabilité accrue.
En outre, une fuite de données peut survenir à cause d'un tiers tel qu'un fournisseur, un prestataire ou un partenaire. Il est très important de veiller à ce que les pratiques de sécurité soient respectées tout au long de la chaîne des données.
Il est malheureusement impossible d'éviter totalement les fuites de données. L'important est donc de mettre en place des mesures pour détecter, contenir et remédier aux éventuels incidents. Un plan de réaction doit être connu par toute l'entreprise.
Afin d'éviter les risques de phishing ou hameçonnage, les erreurs de configuration Cloud et toute fuite de données causée par une erreur interne, vous devez former vos employés à la cybersécurité. Pour y parvenir, vous pouvez vous tourner vers les formations Cyber University.