Ces révélations tardives ont commencé en mai 2016, avec l’annonce de la mise en vente, sur le « Dark Web » de 117 millions d’adresses e-mail et de mots de passe LinkedIn. Mark Zuckerberg lui-même a eu la surprise de découvrir que ses identifiants LinkedIn avaient été volés et utilisés pour pirater ses comptes Twitter et Pinterest.

L’aspect intéressant est que LinkedIn avait rapporté ce piratage en 2012 mais, à l’époque, la société le pensait de moins grande ampleur et avait réinitialisé les mots de passe de seulement 6,5 millions d’utilisateurs. Ce n’est que bien plus tard qu’elle a pris conscience que les comptes touchés étaient encore plus nombreux. Nous savons désormais que le piratage était colossal : 18 fois plus important que ce qui avait été supposé au départ.
Or l’histoire ne s’arrête pas avec LinkedIn.

Dropbox semble avoir connu la même mésaventure. En 2012, la société annonçait que des noms d’utilisateur et mots de passe dérobés sur d’autres sites web avaient servi à se connecter à un petit nombre de comptes Dropbox (en insistant sur l’adjectif « petit »).

Il y a quelques semaines, il a été rendu public que le piratage Dropbox avait été bien plus important. Ce sont ainsi les identifiants de plus de 68 millions d’utilisateurs qui ont fuité, ce qui suscite des doutes quant à la conviction initiale de la société selon laquelle les mots de passe volés sur d’autres sites web n’étaient peut-être pas pertinents.

Un article de TechRepublic au sujet de ce piratage écrit : « Dropbox a reconnu le piratage au moment où il s’est produit mais n’en a pas révélé toute l’ampleur. La communication du vice-président ingénierie d’alors, Aditya Agarwal, laissait également entendre que, pour Dropbox, seuls des e-mails avaient été volés dans l’attaque. »

Plus récemment, le moteur de recherche russe Rambler.ru a subi un piratage aboutissant à la divulgation de 98 millions de comptes utilisateurs, notamment « …des mots de passe stockés en clair, sans cryptage » un piratage avait eu lieu en 2012…

Par ailleurs :
• Le service de streaming musical Last.fm a demandé à ses utilisateurs en 2012 de réinitialiser leur mot de passe mais, une fois encore, l’étendue réelle du piratage n’a pas été publiée. Et voici qu’aujourd’hui nous apprenons là aussi que le piratage était bien plus important et que 43 millions de fiches d’utilisateurs de Last.fm avaient été volées.
• De même, un piratage du site QIP.ru, qui paraît s’être déroulé en 2011 et n’a été révélé que la semaine dernière, portait sur 33,4 millions de comptes, dont les mots de passe étaient tous conservés en clair. Softpedia indique : « [le] pirate est la même source que dans les récentes affaires de Last.fm et Rambler.ru. »

Il est clair que les entreprises qui ont révélé des piratages il y a quelques années n’avaient pas toujours connaissance de l’étendue complète des dommages à l’époque.

Le plus inquiétant est que ces incidents ne sont probablement que la partie émergée de l’iceberg. D’autres piratages de grande ampleur signalés en 2012 concernent Yahoo, Nationwide Insurance, Zappos et la direction des finances de Caroline du Sud.

Combien d’autres piratages ont été sous-estimés ou minimisés ? Nous ne le saurons peut-être jamais. Cependant, une chose est sûre : il y a en circulation des identifiants de centaines de millions d’utilisateurs dont les noms et mots de passe ont été piratés. Qui plus est, les internautes ayant tendance à réutiliser des mots de passe identiques pour différents comptes, parfois même les identifiants de leur entreprise, ces piratages représentent un risque bien réel et immédiat pour les grandes entreprises à travers le monde.

Tous les RSSI et DSI doivent en prendre note. Ce n’est pas parce que nous n’avons pas vu beaucoup de méga-piratages dernièrement que des entreprises ne se font pas pirater. Certains pourraient être tentés d’attribuer le recul du nombre des méga-piratages cette année à une baisse d’activité des pirates eux-mêmes. Il est toutefois plus probable que les pirates savent tout simplement mieux masquer leurs traces. Comme nous pouvons le voir avec les exemples cités plus haut, il y a des chances que nous n’apprenions la véritable étendue de ces piratages que dans plusieurs années.
Rappelons la fameuse citation de John Chambers, CEO de Cisco : « Il y a deux types d’entreprises, celles qui ont été piratées et celles qui ne savent pas qu’elles l’ont été ».

Que l’on ait déjà été piraté ou qu’on ne le sache pas encore, il faut se montrer proactif dans la protection de ses clients et de son entreprise, ce qui signifie protéger ses données et applications afin de ne pas se retrouver dans la situation de LinkedIn ou Dropbox et tenter de limiter les dégâts après-coup. L’heure est aujourd’hui à la proactivité.

Pour en savoir plus : https://www.imperva.com/Products/DatabaseSecurity