Les Failles de Sécurité Retentissantes de 2024
Chaque année, les experts en cybersécurité espèrent que les grandes entreprises tireront les leçons des failles de sécurité précédentes. Pourtant, 2024 a encore été marquée par son lot de cyberattaques mal gérées et de fuites de données massives aux conséquences désastreuses pour des millions d'utilisateurs. Retour sur une année noire pour la protection de l'information.
23andMe accuse les utilisateurs pour son énorme fuite de données
Le géant des tests génétiques 23andMe a perdu l'an dernier les données génétiques et généalogiques de près de 7 millions de clients, suite à une brèche permettant aux pirates d'accéder à des milliers de comptes pour récupérer les données de millions d'autres. Au lieu d'assumer ses failles de sécurité, 23andMe a rejeté la faute sur les victimes, affirmant que ses utilisateurs n'avaient pas suffisamment sécurisé leurs comptes. Un argument jugé "absurde" par les avocats des clients lésés.
Change Healthcare met des mois à confirmer le vol des données de santé des Américains
Change Healthcare, qui traite entre un tiers et la moitié des transactions de santé américaines, a subi une cyberattaque paralysant une grande partie du système de santé des États-Unis pendant des mois. Causée par une faille sur un simple compte utilisateur dépourvu d'authentification multi-facteurs, l'attaque a volé les données personnelles de santé de plus de 100 millions de personnes. Il aura fallu 7 mois à Change pour l'admettre, un temps record pour la plus grande fuite de données médicales de l'Histoire.
Le hack de Synnovis perturbe les soins au Royaume-Uni pendant des mois
Au Royaume-Uni, le NHS a subi des mois de perturbations suite à une attaque au ransomware visant Synnovis, fournisseur de services de pathologie pour Londres. Des milliers de rendez-vous et d'actes chirurgicaux ont été annulés pendant plus de 3 mois. Les experts pointent du doigt l'absence d'authentification à deux facteurs. On ignore encore combien de patients sont affectés, le groupe de ransomware Qilin affirmant avoir divulgué 400 Go de données volées.
Les hacks des clients de Snowflake provoquent des fuites de données en cascade
Le géant du cloud Snowflake s'est retrouvé cette année au cœur d'une série de piratages massifs de ses clients comme AT&T ou Ticketmaster. En cause : son absence d'authentification multi-facteurs obligatoire, permettant aux hackers d'accéder aux vastes banques de données de centaines d'entreprises clientes pour les prendre en otage. Snowflake a admis du bout des lèvres que ces brèches étaient causées par des comptes à authentification unique, avant de finalement déployer le multi-facteurs par défaut.
Columbus (Ohio) attaque en justice un chercheur en sécurité pour avoir révélé une fuite
Quand la ville de Columbus a été victime d'une cyberattaque cet été, son maire s'est voulu rassurant en affirmant que les données volées étaient chiffrées ou corrompues. C'était sans compter un chercheur en sécurité prouvant que les pirates avaient en réalité accès aux données intactes d'un demi-million d'habitants, y compris numéros de sécurité sociale, permis de conduire, casiers judiciaires, mineurs et victimes de violences. La ville a poursuivi le chercheur en justice pour le faire taire, avant de se rétracter.
Une porte dérobée légale permet à des hackers chinois de pirater des opérateurs télécoms américains
Une loi imposant des backdoors aux opérateurs télécoms s'est retournée contre ses auteurs quand des pirates chinois, suspectés de préparer le terrain pour un conflit, ont été découverts dans les réseaux des plus grands fournisseurs de téléphonie et Internet américains. Ils y accédaient aux appels, messages et métadonnées de politiciens et officiels de haut rang en temps réel via les systèmes d'écoute requis par la loi de 1994. Le gouvernement conseille maintenant aux citoyens d'utiliser des apps chiffrées de bout en bout.
MoneyGram ne dit toujours pas combien de clients touchés par sa fuite de données
MoneyGram, le géant américain du transfert d'argent avec plus de 50 millions de clients, a été piraté en septembre. Il aura fallu plus d'une semaine pour qu'il admette un vague "problème de cybersécurité", puis encore des semaines pour confirmer le vol de données clients dont des numéros de sécurité sociale, pièces d'identité et historiques de transactions. MoneyGram n'a toujours pas révélé le nombre de clients affectés ni notifiés directement.
Hot Topic reste muet après la fuite de 57 millions de dossiers clients
Avec 57 millions de clients touchés, le piratage en octobre du géant de la distribution Hot Topic est l'une des plus grandes fuites de données de vente au détail. Pourtant, malgré l'ampleur, Hot Topic n'a toujours pas confirmé publiquement l'incident ni alerté les clients ou les autorités. Selon Have I Been Pwned qui a obtenu les données volées, elles incluent emails, adresses, numéros de téléphone, achats, sexe, date de naissance et données partielles de cartes bancaires de près de 57 millions de clients.
Ces incidents majeurs démontrent une nouvelle fois l'importance cruciale d'une sécurité renforcée et proactive des systèmes informatiques et des données. Trop d'entreprises négligent encore les fondamentaux comme l'authentification multi-facteurs sur tous les comptes à risque, exposant des millions d'utilisateurs.
Il est urgent qu'elles prennent conscience de leurs responsabilités et investissent massivement dans la cybersécurité, la detection des failles et la protection de la vie privée de leurs clients. Les régulateurs doivent aussi durcir les obligations de notification des incidents et les sanctions contre les mauvais élèves. Car au final, ce sont toujours les utilisateurs qui paient le prix fort des fuites de leurs données personnelles.
