Le cas préoccupant des méga-piratages sous-estimés

Le cas préoccupant des méga-piratages sous-estimés

Évaluer cet élément
(4 Votes)

Une tendance préoccupante s’est développée ces derniers mois, à savoir l’annonce au compte-gouttes de piratages d’ampleur, ayant abouti principalement au vol d’identifiants clients. Qu’est-ce qui rend ces piratages si préoccupants ? Le fait que ceux-ci ne se sont pas produits la semaine dernière, ni le mois dernier, mais pour la plupart il y a plus de quatre ans.

Ces révélations tardives ont commencé en mai 2016, avec l’annonce de la mise en vente, sur le « Dark Web » de 117 millions d’adresses e-mail et de mots de passe LinkedIn. Mark Zuckerberg lui-même a eu la surprise de découvrir que ses identifiants LinkedIn avaient été volés et utilisés pour pirater ses comptes Twitter et Pinterest.

L’aspect intéressant est que LinkedIn avait rapporté ce piratage en 2012 mais, à l’époque, la société le pensait de moins grande ampleur et avait réinitialisé les mots de passe de seulement 6,5 millions d’utilisateurs. Ce n’est que bien plus tard qu’elle a pris conscience que les comptes touchés étaient encore plus nombreux. Nous savons désormais que le piratage était colossal : 18 fois plus important que ce qui avait été supposé au départ.
Or l’histoire ne s’arrête pas avec LinkedIn.

Dropbox semble avoir connu la même mésaventure. En 2012, la société annonçait que des noms d’utilisateur et mots de passe dérobés sur d’autres sites web avaient servi à se connecter à un petit nombre de comptes Dropbox (en insistant sur l’adjectif « petit »).

Il y a quelques semaines, il a été rendu public que le piratage Dropbox avait été bien plus important. Ce sont ainsi les identifiants de plus de 68 millions d’utilisateurs qui ont fuité, ce qui suscite des doutes quant à la conviction initiale de la société selon laquelle les mots de passe volés sur d’autres sites web n’étaient peut-être pas pertinents.

Un article de TechRepublic au sujet de ce piratage écrit : « Dropbox a reconnu le piratage au moment où il s’est produit mais n’en a pas révélé toute l’ampleur. La communication du vice-président ingénierie d’alors, Aditya Agarwal, laissait également entendre que, pour Dropbox, seuls des e-mails avaient été volés dans l’attaque. »

Plus récemment, le moteur de recherche russe Rambler.ru a subi un piratage aboutissant à la divulgation de 98 millions de comptes utilisateurs, notamment « …des mots de passe stockés en clair, sans cryptage » un piratage avait eu lieu en 2012…

Par ailleurs :
• Le service de streaming musical Last.fm a demandé à ses utilisateurs en 2012 de réinitialiser leur mot de passe mais, une fois encore, l’étendue réelle du piratage n’a pas été publiée. Et voici qu’aujourd’hui nous apprenons là aussi que le piratage était bien plus important et que 43 millions de fiches d’utilisateurs de Last.fm avaient été volées.
• De même, un piratage du site QIP.ru, qui paraît s’être déroulé en 2011 et n’a été révélé que la semaine dernière, portait sur 33,4 millions de comptes, dont les mots de passe étaient tous conservés en clair. Softpedia indique : « [le] pirate est la même source que dans les récentes affaires de Last.fm et Rambler.ru. »

Il est clair que les entreprises qui ont révélé des piratages il y a quelques années n’avaient pas toujours connaissance de l’étendue complète des dommages à l’époque.

Le plus inquiétant est que ces incidents ne sont probablement que la partie émergée de l’iceberg. D’autres piratages de grande ampleur signalés en 2012 concernent Yahoo, Nationwide Insurance, Zappos et la direction des finances de Caroline du Sud.

Combien d’autres piratages ont été sous-estimés ou minimisés ? Nous ne le saurons peut-être jamais. Cependant, une chose est sûre : il y a en circulation des identifiants de centaines de millions d’utilisateurs dont les noms et mots de passe ont été piratés. Qui plus est, les internautes ayant tendance à réutiliser des mots de passe identiques pour différents comptes, parfois même les identifiants de leur entreprise, ces piratages représentent un risque bien réel et immédiat pour les grandes entreprises à travers le monde.

Tous les RSSI et DSI doivent en prendre note. Ce n’est pas parce que nous n’avons pas vu beaucoup de méga-piratages dernièrement que des entreprises ne se font pas pirater. Certains pourraient être tentés d’attribuer le recul du nombre des méga-piratages cette année à une baisse d’activité des pirates eux-mêmes. Il est toutefois plus probable que les pirates savent tout simplement mieux masquer leurs traces. Comme nous pouvons le voir avec les exemples cités plus haut, il y a des chances que nous n’apprenions la véritable étendue de ces piratages que dans plusieurs années.
Rappelons la fameuse citation de John Chambers, CEO de Cisco : « Il y a deux types d’entreprises, celles qui ont été piratées et celles qui ne savent pas qu’elles l’ont été ».

Que l’on ait déjà été piraté ou qu’on ne le sache pas encore, il faut se montrer proactif dans la protection de ses clients et de son entreprise, ce qui signifie protéger ses données et applications afin de ne pas se retrouver dans la situation de LinkedIn ou Dropbox et tenter de limiter les dégâts après-coup. L’heure est aujourd’hui à la proactivité.

Pour en savoir plus : https://www.imperva.com/Products/DatabaseSecurity

Lu 5152 fois Dernière modification le lundi, 14 novembre 2016 11:42
Bertrand de Labrouhe

Bertrand de Labrouhe, Area Vice President Southern EMEA & Mediterranean - Imperva

Ingénieur EFREI et titulaire d’un MBA de l’Institut Supérieur de Gestion de Paris, Bertrand de Labrouhe travaille dans le domaine de la sécurité informatique depuis plus de 20 ans.

Retrouvez-le sur :

LinkedIn www.linkedin.com/in/bdelabrouhe

Annonces

ADS.GPOMAG NOTILUS ADS.1

Le magazine digital

Inscrivez-vous à notre édition digitale pour feuilleter gratuitement le prochain numéro

   je m inscris test

Vient de paraître l'édition de Juillet 2020
Entreprise AGILE et Gestion de la MOBILITÉ
Recevoir la
 version numérique en cliquant ici

Capture d’écran 2020-07-18 à 19.05.29.png 

Paru en Juin 2020
La FONCTION FINANCE à l'heure du digital

MAG DIGITAL Lire extrait HS 2020-06-Digit fonction finance.jpg

Livres Blanc et E-book

Accélérer la transformation digitale de la comptabilité fournisseurs
Les équipes comptables se doivent d’engager leur transformation digitale pour éliminer les travaux de saisies…
Plus de livres blanc

Webinaires

Au 1er janvier 2021, le Brexit sera effectif : êtes-vous prêts ?
Au 1er janvier 2021, le Brexit sera effectif. Pour vous préparer, la douane vous accompagne…
Comment aborder le télétravail dans les meilleures conditions ?
Les nouveaux défis auxquels nous faisons face amènent les entreprises à recourir de plus en…
Les différentes étapes pour anticiper la sortie de crise
L'équipe Décidem, Cabinet de conseil spécialisé dans les défis humains, propose gratuitement son prochain webinar…
Plus de webinaires

Connexion

Devenir membre de GPOMag.fr vous permettra de bénéficier de nombreux avantages réservés uniquement aux membres : Recevoir l'édition digitale mensuelle, Feuilleter les cahiers thématiques et les télécharger gratuitement, Feuilleter gratuitement les derniers numéros de l'année en cours, Télécharger le planning rédactionnel pour connaître les sujets de la Rédaction à venir.

GPO Magazine

GPO Magazine, pour Gérer, Prévoir et Optimiser les ressources de l'entreprise est un magazine d'aide à la décision bimestriel, axé sur l'optimisation de la gestion d'entreprise, pour concrètement guider ses lecteurs dirigeants dans leurs réflexions stratégiques, leurs démarches opérationnelles, la gestion de leurs droits et dans le choix de leurs partenaires.

Une ligne éditoriale concrète et pertinente qui conjugue tendances, cas concrèts et témoignages, dossiers d'analyse, dossiers marchés, dossiers métiers, focus, point de droit, point international, point fiscal. Plus des " Avis d'Experts ".

Contactez-nous

Nos autres sites d'information

Twitter - Derniers posts

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêts.