2016 n’a pas été une bonne année pour la cybersécurité.
Les atteintes à la protection des données et les cyberattaques ont pris des proportions historiques au fil des ans, faisant de 2016 la pire année en matière de sécurité pour le gouvernement, les entreprises et les utilisateurs individuels jusqu’à présent. Le danger avec ces violations est qu’elles ont la capacité de faire tomber des entreprises et de causer de graves dommages à leur réputation, leurs finances et leurs utilisateurs.
Les plus grands hacks de 2016 ont démontré que beaucoup de données Internet ne sont toujours pas sécurisées. Il y avait les piratages typiques facilités par le spear phishing ainsi que certains piratages menaçants de l’Internet des objets (IoT) qui n’augurent rien de bon pour l’avenir.
Industrie juridique
Les cabinets d’avocats, en particulier ceux impliqués dans les fusions et acquisitions, ont été ciblés en 2016. Les pirates recherchent des informations non publiques sur les entreprises à des fins de délit d’initié. En mars 2016, une cinquantaine de cabinets d’avocats, dont les géants Cravath Swaine & Moore LLP et Weil Gotshal & Manges LLP, ont été victimes d’un groupe de pirates informatiques russes appelé Oleras. À la suite de l’atteinte à la protection des données, des plans ont été annoncés en vue d’intenter un recours collectif contre les entreprises attaquées au sujet de l’exposition des renseignements sur les clients.
Encore une fois, en décembre, Cravath a été harponnée, probablement pour découvrir des informations sur l’énorme projet de fusion de Time-Warner et d’AT&T. Le magazine Fortune a affirmé que l’atteinte à la protection des données s’inscrivait dans le cadre d’une initiative plus vaste du gouvernement chinois.
Toujours en décembre, le procureur général de New York a mis en garde contre une escroquerie qui consistait à envoyer des courriels à des avocats se faisant passer pour des avocats de son bureau.
L’atteinte à la protection des données du Panama Papers a été la plus importante impliquant un cabinet d’avocats en 2016. La firme panaméenne attaquée était Mossack Fonseca, qui vend des sociétés offshore anonymes qui peuvent servir à blanchir des fonds illégaux. Un dénonciateur a fourni au Süddeutsche Zeitung environ 2,6 téraoctets de données sur les politiciens, les criminels, les athlètes professionnels, etc. Environ 400 journalistes du monde entier ont participé à la recherche sur les 11,5 millions de documents constitués de courriels, de fichiers pdf, de fichiers photos et d’extraits d’une base de données interne Mossack Fonseca. Les données couvrent une période allant des années 1970 au printemps 2016. Il y a environ deux ans, le dénonciateur avait déjà fourni des données sur quelques centaines de sociétés offshore ; les Panama Papers concerne environ 214.000 sociétés.
La fuite a eu de profondes conséquences dans le monde entier. « Le point principal ici est que nous pouvons relier les entreprises de la fuite de Panama non seulement avec des crimes économiques comme le blanchiment d’argent, » a déclaré Simon Riondet, chef du renseignement financier d’Europol, « mais aussi avec le terrorisme, les OCG russes [Organized Crime Groups], le trafic de drogue, la traite des êtres humains, l’immigration illégale,[et] la cybercriminalité. »
Industrie de la santé
Depuis le 1er janvier 2017, la Californie s’est associée joint au Wyoming pour faire de l’utilisation de ransomwares un crime autonome. La loi est le résultat de l’attaque du Hollywood Presbyterian Medical Center en février 2016. Les pirates ont pris le contrôle de quelques centaines d’ordinateurs, demandant 3,6 millions de dollars en rançon. Hollywood Presbyterian a finalement payé 17 000 $ pour faire partir les hackers.
Quest Diagnostics a été ciblé en décembre. L’atteinte à la protection des données portait sur les noms, les dates de naissance, les résultats de laboratoire et certains numéros de téléphone, pour un total de 34 000 dossiers.
Banner Health a découvert que les cyberattaquants ne cherchent pas toujours à voler les données des patients. Pendant deux semaines au cours de l’été, des pirates informatiques ont recueilli des données sur les cartes de paiement dans certains points de vente d’aliments et de boissons de Banner. Les attaquants ont intercepté jusqu’à 3,7 millions de noms de titulaires de cartes, de numéros de cartes, de dates d’expiration et de codes de vérification internes au fur et à mesure que les données passaient dans leurs systèmes de traitement des paiements.
Gouvernement
Des rapports continuent de faire surface concernant le piratage des élections américaines par la Russie. De nombreuses sources affirment que l’objectif était d’influencer les électeurs en faveur de Donald Trump. Cela serait conforme au calendrier et à la cible des attentats au début de l’année. Plus de 19 000 courriels de responsables du DNC ont été publiés sur WikiLeaks immédiatement avant la convention nationale du parti démocrate (DNC). Apparemment, la DNC était une cible facile parce qu’elle ne disposait pas d’un service avancé de filtrage des spams. Plus tôt dans l’année, le Comité national démocrate et le Comité de campagne du Congrès démocrate ont été piratés par un groupe de Russes appelés les ducs (The Dukes).
Selon un rapport publié par les services de renseignement américains en janvier 2017, la Russie a utilisé des outils d’attaque typiques pour exfiltrer les données. Elle a complété ces attaques par des campagnes de diffamation non seulement au sein du gouvernement russe et des médias contrôlés par l’État, mais aussi par l’intermédiaire de tiers intermédiaires et d’utilisateurs de réseaux sociaux rémunérés ou « trolls ». En outre, après le jour des élections, les services de renseignement russes ont lancé une campagne de spear phishing ciblant les employés du gouvernement américain et les personnes associées aux groupes de réflexion et ONG américains dans les domaines de la sécurité nationale, de la défense et de la politique étrangère.
L’une des plus grandes brèches gouvernementales de l’histoire a eu lieu en mars lorsque 55 millions de documents ont été volés à la Commission électorale des Philippines (COMELEC). Tout a commencé avec le groupe hacktiviste Anonymous qui a publié un message sur le site web du COMELEC avertissant le gouvernement de ne pas interférer avec les élections aux Philippines. Ensuite, toute la base de données COMELEC a été volée et mise en ligne sur de multiples serveurs miroirs disponibles en téléchargement. La base de données contenait des renseignements permettant d’identifier personnellement chaque électeur philippin inscrit, y compris des renseignements sur son passeport et ses empreintes digitales.
Vente au détail
Il y a eu moins de brèches dans l’industrie de la vente au détail qu’en 2015, année où Home Depot et Target ont été la cible d’attaques massives. Il y avait quand même de quoi s’inquiéter.
En juillet, la Corée du Sud a accusé la Corée du Nord d’avoir volé 20 millions de disques à Interpark, un centre commercial en ligne. La Corée du Sud prétend que le but était d’obtenir des devises étrangères. Interpark a reçu un message anonyme menaçant de rendre publique la fuite de données personnelles à moins de payer l’équivalent de 2,6 milliards de dollars en monnaie sud-coréenne.
Le fabricant de jouets VTech a connu une violation de 6,4 millions de comptes d’enfants en décembre 2015. La tendance s’est poursuivie avec le piratage de 3,3 millions de comptes chez Sanrio, probablement mieux connu pour les produits Hello Kitty. Les dossiers comprenaient les noms, les dates d’anniversaire non chiffrées, le sexe, le pays d’origine, les adresses électroniques, les hachages de mots de passe SHA-1 non salés et les questions et réponses aux indices de mots de passe. En tant qu’adulte, le fait d’avoir de telles données personnelles révélées est déjà assez grave. Cependant, comme la plupart des parents ne surveillent pas le dossier de crédit de leur enfant, toute fraude découlant du piratage pourrait ne pas être détectée avant des années.
En novembre, une ouverture de session d’employé a été utilisée pour accéder aux serveurs de Three Mobile. Les informations prétendument privées des deux tiers des neuf millions de clients de l’entreprise auraient pu être exfiltrées.
Le service de messagerie instantanée Telegram a connu la plus importante brèche connue dans un système de communications chiffrées de bout en bout en août. Le talon d’Achille du système de Telegram était l’utilisation de messages texte SMS pour activer de nouveaux appareils. Des pirates associés au gouvernement iranien ont intercepté les messages et utilisé les codes pour ajouter de nouveaux dispositifs aux comptes de Telegram. Ensuite, les pirates pouvaient lire l’historique des chats et surveiller les nouveaux messages pour les comptes. Plus d’une douzaine de comptes ont été touchés. En outre, les numéros de téléphone de 15 millions d’utilisateurs iraniens ont fait l’objet de fuites.
Les fuites de données qui touchent toutes les industries
Toutes les entreprises ont été potentiellement touchées par le piratage de SWIFT. La Society for Worldwide Interbank Financial Telecommunication (SWIFT) fournit un réseau qui permet aux institutions financières du monde entier d’envoyer et de recevoir des informations sur les transactions financières.
Après une attaque malveillante contre une banque bangladaise, qui s’est soldée par un vol de 81 millions de dollars, SWIFT a publié un correctif logiciel qui détecte le malware attaquant. En septembre, l’organisation a annoncé une série de contrôles de sécurité obligatoires. Les clients doivent démontrer chaque année que ces contrôles sont en place à compter de 2018.
Ciblage des dispositifs IoT – Fuites de données dans l’Internet des Objets
Les cybercriminels ont ciblé les dispositifs Internet des objets (IoT) tels que les webcams, les téléviseurs et les enregistreurs numériques dans une bien plus large mesure qu’auparavant. Étant donné que Gartner prévoit qu’il y aura 20,8 milliards de dispositifs IoT d’ici 2020, il semble probable que l’avenir annonce des attaques similaires à celles de 2016. +
En octobre, un grand nombre de sites web ont été perturbés par les attaques de déni de service distribué (DDoS) contre le fournisseur d’hébergement de systèmes de noms de domaine (DNS) Dyn. Quelque 20 000 appareils IoT ont été infectés par des logiciels malveillants Mirai pour créer un botnet. Le botnet a livré des paquets DDoS à un taux allant jusqu’à un téraoctet par seconde. Un DDoS a également été utilisé pour attaquer les dispositifs IoT eux-mêmes. En octobre, des cybercriminels ont arrêté le chauffage dans deux bâtiments de la ville finlandaise de Lappeenranta.
En 2016, Yahoo a battu le record du plus grand piratage annoncé de l’histoire – deux fois. En septembre, Yahoo a signalé une brèche 2014 d’au moins 500 millions de comptes utilisateurs. Puis en décembre, Yahoo a révélé qu’un autre piratage en 2013 a divulgué des données concernant 1 milliard d’utilisateurs. Cela prouve que vos informations sur Internet ont peut-être été piratées, mais vous ne le savez pas encore. Pire encore, une base de données concernant 57 millions de personnes a été mise en vente sur le dark web en mai 2016. L’origine des données, qui comprenaient les adresses électroniques, les mots de passe et les numéros de cellulaire, est inconnue. Les mots de passe étaient chiffrés avec MD5, un chiffrement facile à contourner.
Et la vie continue …
Les atteintes à la cybersécurité ne doivent jamais être prises à la légère. Bien que les incidents décrits dans cet article soient de grande envergure et très médiatisés, les propriétaires d’entreprises de toutes tailles peuvent tirer des leçons de ces erreurs et prendre des mesures pour les éviter.
Nous nous attendons à ce que ces pirates continuent de muter en 2017. Nous verrons de nouveaux rebondissements dans les anciens emballages. La protection des données continuera d’être un défi, nécessitant des logiciels de sécurité de plus en plus sophistiqués. Bonne année 2017 !