Retour sur les vols et fuites de données de l'année 2017. Quels préjudices pour les entreprises et consommateurs ?
La fuite de données en 2017
La fuite de données, vous en avez déjà entendu parler ? C’est un euphémisme courant pour désigner un piratage informatique impliquant un vol de données personnelles. L’année 2017 a été marquée par de nombreuses de ces fuites. C’est à se demander s’il ne faudrait ouvrir d’urgence des formations de plombiers dans les écoles d’informatiques.
Plus sérieusement, ce phénomène prend une ampleur inquiétante car certains de ces vols de données touchent des millions de personnes. C’est sur cet aspect de la protection des données personnelles que nous allons nous focaliser.
Pourquoi autant de vols de données personnelles ?
Le nombre d’utilisateurs d’Internet ne cesse de croître, de même que le nombre de services utilisés (banque, sites ecommerce, emails, applications et services de stockage de fichiers en ligne). L’utilisation de ces services nécessite de transmettre un certain nombre d’informations personnelles tels que l’identité, les adresses, la date de naissance et des mots de passe. Outre les informations transmises par les internautes, il faut compter sur les informations stockées pour le profilage (géolocalisation, préférences marketing, historique d’utilisation ou de commandes…). Bref, les datacenters sont gorgés de ressources alléchantes pour des pirates informatiques.
Puisque les cibles ne manquent pas et que les systèmes informatiques sont loin d’être toujours infaillibles, il est inévitable que de grands noms du web se fassent pirater. C’est d’ailleurs le nombre de personnes touchées qui influe sur l’importance du relais médiatique de ces affaires. Considérant que le vol de données n’est pas toujours constaté et notifié, il est fort à parier que nous ne voyons que la partie émergée de l’iceberg.
En informatique, le principe de la fuite de données est de ne laisser qu’un nombre limité de traces. En effet, nous ne sommes pas dans le cas d’un ransomware bloquant l’usage des fichiers et des machines. Généralement, les pirates copient les fichiers et bases de données, sans les supprimer.
Bilan des « fuites » en 2017
Nous listons ci-dessous les principales fuites découvertes ou ayant eu lieu en 2017. Cette courte liste, loin d’être exhaustive, donne le vertige par l’ampleur des chiffres et la notoriété des entreprises touchées.
- Instagram : 6 millions de comptes touchés (Emails et téléphones).
- Equifax : 143 million de clients d’un organisme de crédit (Emails, adresses, téléphones, dates de naissance. Numéros de permis de conduire, carte de crédit et de sécurité sociale).
- Numéricable : nombre de comptes touchés non communiqué (Noms, prénoms, emails, adresses, téléphones et services souscrits).
- Axa Singapour : 5.400 clients (Emails, téléphones mobiles, date de naissance.)
- Accenture : piratage du service de cloud (Identifiants et clés de chiffrement).
- UniCredit : 400.000 clients (IBAN, noms, téléphone et adresses).
- Uber : 57 millions de comptes piratés (Noms, emails, téléphones, de clients et conducteurs).
Le préjudice pour les particuliers
Pour prendre un exemple concret : un malfaiteur en possession de vos informations personnelles peut se faire passer pour une société dans le cadre d’une arnaque par démarchage téléphonique. Il est très simple de se faire passer pour un fournisseur d’accès à Internet ou un opérateur Mobile à partir du moment où l’on possède vos coordonnées et vos informations de contrat. Une fois en confiance, l’escroquerie n’est que plus simple.
En somme, nous ne saurons que trop vous conseiller d’utiliser des mots de passe sécurisés et différents pour chaque service internet. Mais ce n’est pas suffisant pour se prémunir contre ces risques de sécurité informatique provenant directement de tiers malveillants.
L’impact pour les entreprises
Une entreprise touchée par une fuite ou un vol de données peut subir plusieurs types de préjudices. Ainsi, les sociétés de services exposeront les données de leurs clients et utilisateurs. Pour une activité industrielle, les données touchées pourront être d’une toute autre nature. Nous noterons la divulgation de brevets, de secrets industriels ou tout simplement la fuite de carnets d’adresses des commerciaux.
Se prémunir en protégeant les systèmes informatiques contre les intrusions s’avère une priorité. Sur ce sujet, la sauvegarde en ligne n’est que d’une importance secondaire. Comme nous l’évoquions plus haut, les données sont, par principe, copiées et non supprimées. Pour conclure, le préjudice réside essentiellement dans le fait de perdre l’usage et la propriété des données. Ce qui peut avoir des conséquences terribles pour le fonctionnement ou l’image de marque d’une société.