Violation de données

Une fuite de données consiste en la copie, la transmission, la visualisation, le vol ou l'utilisation d'informations confidentielles, sensibles ou protégées par une personne non autorisée.

Les fuites de données impliquent souvent des informations financières telles que des numéros de carte de crédit ou des informations bancaires, les renseignements médicaux personnels (DMP), les informations personnelles identifiables (PII), les secrets commerciaux de sociétés ou de la propriété intellectuelle.

De nombreuses Etats ont adopté des lois sur la notification des données, qui obligent notamment une entreprise victime d'une fuite de données à informer ses clients sur la fuite de leurs informations personnelles.

Fuite de données médicales

Certaines célébrités sont elles-mêmes victimes de de données liées à leur état de santé personnel[1]. Compte tenu de nombreuses fuites de données et du manque de confiance du public, certains pays ont adopté des lois exigeant que des garanties soient mises en place pour protéger la sécurité et la confidentialité des informations médicales transmises par voie électronique et pour donner aux patients certains droits importants à surveiller leurs dossiers médicaux et recevoir une notification de la perte et de l'acquisition non autorisée de renseignements sur leur santé. Les États-Unis et l'UE ont imposé cette réglementation[2].

Coût moyen de la de données en Allemagne

Conséquences

Bien que de tels incidents présentent le risque de vol d'identité ou d'autres conséquences graves, dans la plupart des cas, il n'y a pas de dommages durables : le voleur peut seulement être intéressé par le matériel volé et pas les données qu'il contient[3].

Fuite de données majeures

2005

2006
  • AOL données de recherche scandale (parfois appelé un "Data Valdez"[9],[10],[11], en raison de sa taille)
  • Le ministère des anciens combattants, Peut, à hauteur de 28 600 000 anciens combattants, des réserves, et le service actif le personnel militaire[12],
  • Ernst & Young, Mai, 234 000 clients de Hotels.com (après une perte similaire de données sur les 38 000 employés de Ernst & Young clients en février)
  • Boeing, en décembre, de 382 000 collaborateurs (après des pertes de données sur de 3 600 employés en avril et de 161 000 salariés, en )

2007

2008
  • En , GE Money, une division de General Electric, a révélé que une bande magnétique contenant 150 000 numéros de sécurité sociale est connu pour être manquant d'une installation de stockage. J. C. Penney est parmi les 230 détaillants touchés[14].
  • Horizon Blue Cross et Blue Shield of New Jersey, janvier, 300 000 membres
  • Forces vives de février, les 321.000 donneurs de sang
  • Parti National britannique, la liste des membres de fuite[15]
  • Au Début de 2008, Countrywide Financial (depuis rachetée par Bank of America), aurait été victime d'une de données personnelles. Rene L. Rebollo Jr a volé et vendu à 2,5 millions de numéros de sécurité sociale[16],[17],[18]. En , la Banque de l'Amérique réglé plus de 30 recours collectifs en proposant la gratuité de surveillance du crédit, le vol d'identité d'assurance et de remboursement pour des pertes de 17 millions de consommateurs touchés par la fuite de données. Le règlement a été estimée à 56,5 millions de dollars non compris les frais de justice[19].

2009
  • En , RockYou! la base de données a été violée contenant 32 millions de noms d'utilisateurs et mots de passe en clair, ce qui compromet encore davantage l'utilisation de mots de passe faibles pour n'importe quel but.
  • En , le Royaume-Uni parlementaire des dépenses scandale a été révélé par Le Daily Telegraph. Un disque dur contenant des factures numérisées des membres du Parlement et les Pairs de la Chambre des Lords a été offert à des journaux britanniques à la fin d'avril, avec Le Daily Telegraph, enfin de l'acquérir. Ils ont publié les détails dans les versements à partir du . Bien qu'il ait été l'intention du législateur que les données ont été publiés, ce devait être rédigé dans la forme, avec les détails de chacun de ses membres considérés comme "sensibles" masquée. Le résultat de la tempête médiatique a conduit à la démission du président de la Chambre des Communes et sur l'emprisonnement de plusieurs Députés et Lords pour fraude. Les dépenses a été remanié et renforcé, étant mis davantage sur un pied d'égalité avec le secteur privé les régimes. Le Metropolitan Police Service continue d'enquêter sur de possibles fraudes, et le Crown Prosecution Service envisage d'autres poursuites. Plusieurs Députés et Lords ont présenté des excuses.
  • En Heartland payment Systems a annoncé qu'elle avait été "victime d'une de la sécurité au sein de son système de traitement"[20]. L'intrusion a été appelé le plus grand criminel de la fuite de données de la carte, avec des estimations allant jusqu'à 100 millions de cartes de plus de 650 sociétés de services financiers compromis[21].

2010
  • Tout au long de l'année, Chelsea Manning (alors connue sous le nom de Bradley Manning) a publié d'importants volumes de secret militaire de données pour le public, et notamment

2011
  • En , la société HBGary (en) voit sa message exposée[22], exposant le fait que la société cherchait à déterminer l'identité de membres du collectif Anonymous pour le compte Bank of America[23].
  • En , Sony a connu une de données à l'intérieur de leur Réseau de PlayStation. Il est estimé que les informations de 77 millions d'utilisateurs a été compromise.
  • En , Citigroup a révélé une de données à l'intérieur de leur carte de crédit, affectant environ 210 000 ou 1% des comptes de leurs clients[24].

2012
  • En , des emails de la société d'analyse géopolitique Stratfor sont exposés par Wikileaks sous le nom de "Global Intelligence Files"[25].
  • En , Il a été rapporté que l'on estime que 3,6 millions de numéros de Sécurité Sociale américaine ont été compromis avec 387,000 relevés de carte de crédit[26].

2013
  • En , Adobe Systems a révélé que leur base de données d'entreprise a été piraté et quelque 130 millions d'utilisateurs ont été volées. Selon Adobe, "depuis plus d'un an, le système d'authentification a cryptographiquement hacké à l'aide de l'algorithme SHA-256. Le système d'authentification impliqués dans l'attaque était un système de sauvegarde et a été désigné pour être mis hors service. Le système impliqué dans l'attaque utilisées Triple DES pour protéger toutes les informations comme les mots de passe stockés."[27]
  • , Target Corporation a annoncé que les données de près de 70 millions de dollars de crédit et de débit cartes ont été volés. Il est le deuxième plus grand groupe collectant les crédits et les débits de carte la TJX. Cette même entreprise a été victime elle aussi d'une des données avec près de 46 millions de cartes touchés[28].
  • En 2013, Edward Snowden a publié une série de documents secrets qui ont révélé largement l'espionnage pratiqué par les États-Unis avec l'Agence Nationale de la Sécurité et des organismes similaires dans d'autres pays.

2014
  • En , près de 200 photos de célébrités ont été affichés sur le site web du conseil de 4chan. Une enquête menée par Apple a trouvé que les images ont été obtenues "par une attaque très ciblée sur les noms d'utilisateur, mots de passe et questions de sécurité"[29].
  • En , Home Depot a subi une de données contre 56 millions de numéros de carte de crédit[30].
  • En , Staples a subi une de données contre 1,16 million de clients de cartes de paiement[31].
  • En Sony Pictures Entertainment a subi une de données impliquant des renseignements personnels à propos de Sony Pictures contre leurs employés et de leurs familles, avec des e-mails entre les employés, des informations sur les salaires des cadres à l'entreprise, des copies de films inédit produit par Sony, et d'autres informations. Les pirates impliqués affirment avoir pris plus de 100 téraoctets de données à Sony[32].

2015
  • En , Hymne a subi une de données de près de 80 millions de disques, y compris des informations personnelles telles que les noms, numéros de Sécurité Sociale, date de naissance, et autres informations sensibles[33].
  • En , Le Bureau de Gestion du Personnel du gouvernement US a subi une de données dans lequel les enregistrements de 22,1 millions de dollars actuels et d'anciens employés du gouvernement fédéral des États-unis ont été piraté ou volé[34].
  • En , le site pour adulte Ashley Madison a subi une de données lorsqu'un groupe de pirates informatiques ont volé des informations sur ses 37 millions d'utilisateurs. Les pirates ont menacé de révéler les noms d'utilisateur et les détails de leur recherche[35].
  • En , la British Telecommunications fournisseur de TalkTalk a subi une de données lorsqu'un groupe de  pirates ont volé des informations sur ses 4 millions de clients. Le prix des actions de la société a diminué considérablement autour de 12% – en grande partie en raison de la mauvaise publicité entourant la fuite[36].

2016
  • En , le site web de la Commission sur les Élections aux Philippines a été profané par des hacktivistes : "Anonyme Philippines"[37].
  • En , les médias dévoilent et assument avoir permis le vol des données du cabinet d'avocats, Mossack Fonseca, avec les “Panama Papers[38]. Le Premier Ministre de l'Islande a été contraint de démissionner[39] et un important remaniement de bureaux politiques survenus dans des pays aussi lointains que Malte[40]. Plusieurs enquêtes ont été immédiatement entreprises dans des pays à travers le monde[41],[42].
  • En , Yahoo a indiqué que jusqu'à 500 millions de comptes en 2014 ont été volés. Il a été rapporté plus tard en que 3 milliards de comptes ont été volés.

2017
  • Equifax, en , 145,500,000 dossiers des consommateurs, ont connu une des données[43],[44]. Au début d', les villes de Chicago et de San Francisco et le Commonwealth du Massachusetts ont déposé des sanctions contre les Equifax la suite de la fuite de données, dans lequel les pirates auraient exploité une vulnérabilité dans le logiciel open source utilisé pour créer en ligne des litiges de consommation[45].
  • États-unis-Corée du Sud classé les documents militaires, , le Sud-coréen législateur a prétendu que les pirates Nord-coréens de plus de 235 gigaoctets de militaires les documents ont été prises à partir de la Défense Intégrée de Centre de Données en . Des documents divulgués, y compris la Corée du Sud-états-UNIS en temps de guerre le plan opérationnel[46].

2018

2019
  • En janvier 2019, un chercheur en cybersécurité découvre une base de données MongoDB exposée sur le web. Cette database regroupait 202 730 434 enregistrements sur des demandeurs d’emploi chinois. Les données personnelles comprennent, les compétences et l’expérience professionnelle, des numéros de téléphone, des adresses email, le statut marital, l'orientation politique...[50]
  • A la suite de la fuite de données de 533 millions de comptes Facebook découverte en 2019, le régulateur irlandais ouvre, en 2021, une enquête qui visera à déterminer si Facebook a failli à ses obligations et au droit européen n'ayant pas en particulier prévenu les titulaires des comptes piratés dont les données ont été diffusées sur Internet[51].

2020

2021
  • En janvier 2021, une fuite de données découverte sur une base de données hébergée en accès libre par une société chinoise SocialArks à compromis 215 millions de comptes Facebook, Instagram et LinkedIn dont 810 000 en France[58].

Notes et références

Notes
  1. Incluant la Belgique, le Danemark, l'Espagne, la Finlande, la France, l'Irlande, l'Italie, la Lettonie, la Lituanie, Malte, les Pays-Bas, le Portugal, la Slovénie et la Suède.

Références
  1. Charles Ornstein, « Hospital to punish snooping on Spears », Los Angeles Times, (lire en ligne, consulté le )
  2. Patrick Kierkegaard, « Medical data breaches: Notification delayed is notification denied », Computer Law, vol. 28, no 2, , p. 163–183 (DOI 10.1016/j.clsr.2012.01.003, lire en ligne, consulté le )
  3. « Data Breach Hurts Profit at Target », The New York Times, (consulté le )
  4. "Chronology of Data Breaches", Privacy Rights Clearinghouse
  5. "ChoicePoint to pay $15 million over data breach", NBC News
  6. « 276 Unique Names of MI6 Officers », sur cryptome.org (consulté le )
  7. « 276 British Spies - Schneier on Security », sur www.schneier.com (consulté le )
  8. (en) « Site allegedly exposes British secret agents », sur CNET (consulté le )
  9. data Valdez Doubletongued dictionary
  10. AOL's Massive Data Leak, Electronic Frontier Foundation
  11. data Valdez, Net Lingo
  12. "Active-duty troop information part of stolen VA data", Network World, June 6, 2006
  13. Jeff Manning, « D.A. Davidson fined over computer security after data breach », The Oregonian, (lire en ligne, consulté le )
  14. « GE Money Backup Tape With 650,000 Records Missing At Iron Mountain », InformationWeek, sur InformationWeek (consulté le )
  15. « UK - BNP activists' details published », BBC (consulté le )
  16. « Bank of America settles Countrywide data theft suits », Los Angeles Times, sur Los Angeles Times,
  17. "Countrywide Sued For Data Breach, Class Action Suit Seeks $20 Million in Damages", Bank Info Security, April 9, 2010
  18. "Countrywide Sold Private Info, Class Claims", Courthouse News, April 5, 2010
  19. "The Convergence of Data, Identity, and Regulatory Risks", Making Business a Little Less Risky Blog
  20. Heartland Payment Systems Uncovers Malicious Software In Its Processing System « Copie archivée » (version du 27 janvier 2009 sur l'Internet Archive)
  21. Lessons from the Data Breach at Heartland, MSNBC, July 7, 2009
  22. (en) Ms Smith, « Project PM Leaks Dirt on Romas/COIN Classified Intelligence Mass Surveillance », sur CSO Online, (consulté le )
  23. (en) John Leyden, « Anonymous security firm hack used every trick in book », sur www.theregister.com (consulté le )
  24. Andy Greenberg, « Citibank Reveals One Percent Of Credit Card Accounts Exposed In Hacker Intrusion », Forbes, (lire en ligne, consulté le )
  25. « The Global Intelligence Files - List of Releases », sur web.archive.org, (consulté le )
  26. « South Carolina: The mother of all data breaches », The Post and Courier, (lire en ligne, consulté le )
  27. Goodin, Dan. (2013-11-01) How an epic blunder by Adobe could strengthen hand of password crackers. Ars Technica. Retrieved 2014-06-10.
  28. « Target Confirms Unauthorized Access to Payment Card Data in U.S. Stores », Target Corporation, (lire en ligne, consulté le )
  29. « Apple Media Advisory: Update to Celebrity Photo Investigation », Business Wire, StreetInsider.com, (lire en ligne, consulté le )
  30. Melvin Backman, « Home Depot: 56 million cards exposed in breach », CNNMoney, (lire en ligne)
  31. « Staples: Breach may have affected 1.16 million customers' cards », Fortune, (lire en ligne, consulté le )
  32. James Cook, « Sony Hackers Have Over 100 Terabytes Of Documents. Only Released 200 Gigabytes So Far », Business Insider, (lire en ligne, consulté le )
  33. (en) « Data breach at health insurer Anthem could impact millions », sur krebsonsecurity.com,
  34. "Hacks of OPM databases compromised 22.1 million people, federal authorities say". The Washington Post. July 9, 2015.
  35. « Online Cheating Site AshleyMadison Hacked », krebsonsecurity.com, (consulté le )
  36. « TalkTalk Hacked…Again » [archive du ], Check&Secure, (consulté le )
  37. « 5 IT Security Lessons from the Comelec Data Breach », sur IT Solutions & Services Philippines - Aim.ph (consulté le )
  38. The massive Panama Papers data leak explained. Computerworld. April 5, 2016.
  39. Kimiko De Freytas-tamura, « Iceland’s Prime Minister Resigns, After Pirate Party Makes Strong Gains », The New York Times, (lire en ligne, consulté le )
  40. Allied Newspapers Ltd, « Watch: Will Panama scandal go away after the reshuffle? », Times of Malta, (lire en ligne, consulté le )
  41. « U.S. Readies Bank Rule on Shell Companies Amid 'Panama Papers' Fury », NBC News, (lire en ligne, consulté le )
  42. « Can secrets stay secret anymore? », CIO Dive, (lire en ligne, consulté le )
  43. Mathews, Lee, "Equifax Data Breach Impacts 143 Million Americans", Forbes, September 7, 2017.
  44. Mills, Chris, "Equifax is already facing the largest class-action lawsuit in US history", BGR, September 8, 2017.
  45. Sarah T. Reise, « State and Local Governments Move Swiftly to Sue Equifax », The National Law Review, Ballard Spahr LLP, (lire en ligne, consulté le )
  46. North Korea hackers stole South Korea-U.S. military plans to wipe out North Korea leadership: lawmaker, Reuters, Christine Kim, October 10, 2017
  47. (en) Emma Graham-Harrison et Carole Cadwalladr, « Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach » [archive du ], sur The Guardian,
  48. « MyFitness Pal Data Breach March 15, 2018 - Hacked », sur www.javarosa.org (consulté le )
  49. « Saks, Lord & Taylor breach: Data stolen on 5 million cards », CNNMoney (consulté le )
  50. Bastien L, « Fuites de données 2019 : rétrospective des pires Data Leaks de l'année », sur lebigdata.fr, (consulté le ).
  51. Florian Reynaud, « Le régulateur irlandais ouvre une enquête sur la fuite de données liées à 533 millions de comptes Facebook », (consulté le ).
  52. François Manens, « Clearview s'est fait voler la liste des clients de sa reconnaissance faciale controversée », sur Numerama, (consulté le ).
  53. (en) Jon Fingas, « Law enforcement is using a facial recognition app with huge privacy issues », sur Engadget, (consulté le ).
  54. (en) Ryan Mac, Caroline Haskins et Logan McDonald, « Clearview AI Says Its Facial Recognition Software Identified A Terrorism Suspect. The Cops Say That's Not True. », sur BuzzFeed News, (consulté le ).
  55. (en) Ryan Mac, Caroline Haskins et Logan McDonald, « Clearview’s Facial Recognition App Has Been Used By The Justice Department, ICE, Macy’s, Walmart, And The NBA », sur BuzzFeed News, (consulté le ).
  56. « 27 pays ont testé l'application de reconnaissance faciale de Clearview », sur Next INpact, (consulté le ).
  57. Marc Taubert, « Les données de plus d'un million de personnes volées après une attaque informatique à l'AP-HP », sur francetvinfo.fr avec AFP, (consulté le ).
  58. Mathieu Chartier, « Grosse fuite de données personnelles : 215 millions de comptes concernés, dont 810 000 en France », sur lesnumeriques.com, (consulté le )
  59. Fabien Leboucq et Florian Gouthière, « Les informations confidentielles de 500 000 patients français dérobées à des laboratoires et diffusées en ligne », sur Libération, (consulté le )
  60. Alexandre Horn, « Fuite de données médicales de 500 000 patients: la Cnil inflige une amende record de 1,5 million d’euros à Dedalus », sur Libération (consulté le )

Voir aussi

Articles connexes

Liens externes
  • Portail de la sécurité de l’information
  • Portail de la sécurité informatique
  • Portail de l’informatique
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.