En cas de fuite de données, des utilisateurs non autorisés obtiennent des accès aux bases de données d'informations sur les utilisateurs qui sont stockées par les entreprises. Bien que la plupart des gens supposent que c'est sans danger, les types de données obtenues contribuent au chantage, au vol d'identité et aux activités financières frauduleuses, entre autres. Pire encore, il y a de fortes chances qu'il y ait beaucoup plus de données non autorisées recueillies à votre égard que vous ne l'imaginez.
Une dose de réalité
Le site Web de sécurité Internet de Troy Hunt, Have I Been Pwned (HIBP), qui a été lancé le 4 décembre 2013, a publié 8 418 474 549 violations enregistrées (plus de 397 événements au total) de comptes de clients en date du 18 août 2019 (cette liste ne comprend pas la violation de données d'Equifax en 2017, qui a exposé les données privées de jusqu'à 143 millions de consommateurs aux États-Unis) - un nombre qui dépasse la population actuelle de la Terre. Pour placer les choses dans une perspective différente, le rapport 10-K (ndrl : un rapport annuel exigé par la U.S. Securities and Exchange Commission (SEC)) sur Facebook de 2018 fait état de 2,32 milliards d'utilisateurs actifs mensuels sur sa plateforme ; mathématiquement, le nombre de comptes compromis rapporté par HIBP est 3,6 fois plus élevé que le nombre d'utilisateurs de Facebook.
Sur les 8,42 milliards d'infractions enregistrées, plus de 80 types différents de données identifiables ont été récoltés de manière illicite. Les types de données récoltées le plus couramment sont les courriels (21 %), les mots de passe (18 %), les noms d'utilisateur (13 %), les adresses IP (10 %) et les noms (7 %). Cependant, près du tiers (31 %) des données récoltées se trouvent dans la catégorie " autres ", qui comprend, de façon inquiétante, des renseignements sur les préférences sexuelles, l'orientation sexuelle, les fétiches sexuels, l'information sur l'état de la solvabilité, la structure familiale, les habitudes de tabagisme, les nationalités, les niveaux de revenu et les pièces d'identité émises par le gouvernement. Ce type d'information peut être utilisé pour faire du chantage aux utilisateurs, pour discriminer les candidats à l'emploi ou pour d'autres activités ciblées.
HIBP enregistre le plus grand nombre de fuites en 2016 : 86 (voir le graphique 2). Chaque fuite est un incident au cours duquel une base de données contenant des dossiers personnels a été consultée et exposée de manière non autorisée. Le nombre de fuites avant 2016 a augmenté d'année en année, et le nombre de fuites après 2016 a diminué. Par exemple, en 2017, le nombre de fuites a diminué de plus de la moitié par rapport à l'année précédente. À première vue, ces données semblent indiquer un avenir positif pour la protection des données, mais avec le recul du nombre de comptes piratés par an nous met en garde contre ce scénario.
Le graphique 3 illustre le nombre de comptes compromis par année. Dans chaque cas de fuite, les comptes qui sont exposés sont considérés comme des comptes compromis. En 2019, alors que le graphique 2 n'indique que 24 cas de fuite, le graphique 3 montre un nombre record de comptes compromis : près de 1,80 milliard (les unités du graphique 3 sont indiquées en millions), comparativement à 1,57 milliard en 2016. En moyenne, chaque cas de fuite en 2016 a entraîné la compromission de 18 283 820 comptes en moyenne ; par contre, chaque cas de fuite en 2019 a entraîné la compromission de 74 889 726 comptes en moyenne.
Ces chiffres représentent une différence de 4,10 fois le nombre moyen de comptes compromis auxquels un attaquant non autorisé a accès lors de la violation d'une base de données en 2019 par rapport à 2016. Bien que le nombre de piratages ait diminué, les attaquants peuvent être à la recherche de cibles plus visibles, qui fournissent des ensembles de données plus importants sur les utilisateurs.
Un candidat notable dans la liste des violations de données de 2019 de HIBP est l'ancienne société Verifications IO, dont le HIBP a signalé 763 117 241 comptes compromis. Les informations provenant de ces comptes compromis comprenaient le sexe, l'employeur, le titre du poste, le nom, le nom d'utilisateur, le numéro de téléphone, l'adresse physique, l'adresse IP, l'emplacement géographique, l'adresse électronique et la date de naissance. À la suite de cette fuite, le site Web a été mis hors service et n'était pas accessible au moment de la publication du présent document. La fuite n'a pas seulement compromis les données des utilisateurs, mais a également eu des répercussions sur l'activité commerciale.
Exemples de fuites notables de comptes
- Adobe (2013) - 153 millions de comptes ont été compromis. Les données recueillies comprenaient l'identifiant interne d'Adobe pour les clients, les noms d'utilisateur, les courriels, les mots de passe chiffrés (qui pouvaient être facilement déchiffrés) et les indices de mot de passe.
- Ashley Madison (2015) - Ashley Madison est un site web qui fait la promotion des relations extraconjugales. La divulgation de données en 2015 a fait l'objet d'une fuite après que le site Web ait refusé de fermer ses portes. Plus de 25 Go de données (30,8 millions) ont ensuite été divulguées, notamment l'orientation sexuelle, les adresses physiques, les numéros de téléphone, les noms, les mots de passe et les courriels.
- LinkedIn (2012) - 165 millions de courriels et de mots de passe ont été volés.
- MySpace (2008) - 360 millions d'adresses de courriel, de mots de passe et de noms d'utilisateur ont été compromis.
- Verifications.io (2019) - une entreprise de marketing par courriel dont peu de gens ont entendu parler, Verifications.io avait près de 800 millions de comptes compromis contenant des données personnelles : courriels, employeurs, sexes, lieux, adresses IP, titres de postes, noms, numéros de téléphone et adresses physiques.
- Mate1 (2016) - un site de rencontres plus petit qui compte 46 millions d'utilisateurs, le piratage de Mate1 a entraîné la compromission de plus de 27 millions de comptes contenant des informations sur les signes astrologiques, les dates de naissance, les habitudes de consommation d'alcool et de drogues, les niveaux d'éducation, les courriels, les ethnies, les niveaux de forme physique, les sexes, les lieux, les niveaux de revenu, les titres de poste, les noms, les plans parentaux, les mots de passe, les descriptions personnelles, les attributs physiques, les opinions politiques, l'état des relations, la religion, les fétiches sexuels, les habitudes de voyage, les noms d'utilisateur, l'activité sur le Web et les habitudes de travail.
L'illusion de la conformité
Après l'enregistrement des données par une autorité centrale, l'utilisateur n'a aucune garantie de contrôle sur celles-ci, seulement un contrôle apparent. Ashley Madison, par exemple, a facturé 19 $ à ses utilisateurs pour qu'ils suppriment leurs données de la base de données Ashley Madison. Même après avoir payé, ces données n'ont jamais été entièrement supprimées.
L'Impact Team a affirmé que la société mère d'Ashley Madison, Avid Life Media, a reçu 1,7 million de dollars entre 2014 et 2015 dans le cadre de son service de suppression de compte. Malheureusement, après avoir accédé à la base de données des utilisateurs d'Ashley Madison, l'Impact Team a pu récupérer les données d'utilisateur prétendument supprimées.
C'est pire que ce que j'ai décrit
HIBP fournit une liste de 397 cas de violation qui se sont produits depuis 2007, mais cette liste n'est pas exhaustive. D'autres sources telles que KrebsOnSecurity offrent des éléments de données supplémentaires qui incluent également d'autres types de fuites, comme celles qui contiennent des données qui ne sont pas (encore) accessibles au public. Par exemple, en 2019, un pirate informatique a téléchargé 30 Go de données de demande de crédit de Capital One et a ensuite été arrêté par le FBI. " Ces données comprenaient environ 140 000 numéros de sécurité sociale et 80 000 numéros de compte bancaire de consommateurs américains et environ 1 million de numéros d'assurance sociale (SINs) de clients canadiens détenteurs d'une carte de crédit " qui ont fait une demande de carte de crédit Capital One entre 2005 et 2019. Les autres données comprenaient des données sur le statut des clients (p. ex. les cotes de crédit, les limites de crédit, les soldes, l'historique des paiements, les coordonnées) et des données sur les transactions effectuées pendant un total de 23 jours entre 2016 et 2018, selon la déclaration officielle de Capital One sur la violation.
Dans le domaine numérique, le stockage centralisé des données est devenu un jeu de chat et de souris entre la cybersécurité et les pirates informatiques. Les données des utilisateurs doivent être protégées, et les professionnels de la sécurité assument la tâche complexe de gérer les correctifs, d'identifier les vulnérabilités et de mettre en œuvre correctement une architecture sécurisée dans tous les aspects du système centralisé. D'autre part, les pirates n'ont qu'à découvrir un seul point d'entrée pour prendre le dessus. En fin de compte, le coût de l'ensemble du dispositif est payé par l'utilisateur. Le coût de la cybersécurité d'une entreprise est intégré dans le prix d'un produit ou d'un abonnement payé par l'utilisateur, et le profit qu'un pirate informatique tire de la vente de données est réalisé au détriment de l'utilisateur.
Ce que cela signifie pour vous
Vous cherchez probablement des mesures concrètes à prendre pour éviter que ce type de collecte de données ne vous arrive. La réponse n'est pas très claire, surtout parce que les données vous concernant sont partagées ou consultées par des organisations sans votre consentement conscient (comme dans le cas de Cambridge Analytica, qui a extrait les données des utilisateurs de Facebook directement de Facebook).
La première réponse qui me vient à l'esprit semble peu pratique : ne mettez tout simplement aucune de vos informations sur Internet. Malheureusement, vos données sont un ticket d'entrée sur Internet de nos jours - les services veulent vous suivre avec des cookies, les formulaires exigent votre adresse e-mail, etc. sans pour autant renoncer à une certaine confidentialité, vous ne pouvez pas en tirer tous les bénéfices, et en fin de compte la décision de renoncer à des informations se situe à un niveau personnel (si le fait de fournir des données et de risquer une violation de la vie privée vaut les informations que vous recevrez).
Une autre option exige un effort plus important et nécessite une restructuration de l'Internet. Les incitations financières doivent renoncer à la publicité, qui est le principal moyen de gagner de l'argent sur Internet aujourd'hui. Des entreprises en démarrage comme Worthyt sont en train de réinventer la donne en déplaçant l'incitatif financier de la publicité vers l'interaction de qualité avec les destinataires. Sur le plan structurel, les solutions de chaînes de blocs peuvent servir à décentraliser les données, ce qui permet d'isoler les attaques.
Le plus petit pas que vous pouvez faire est simplement d'être plus conscient de votre activité sur Internet. Le fait de donner votre courriel à un site Web peut être utilisé pour lier votre activité à l'avenir si ce site Web est compromis. Une chose que j'aime utiliser est un site Web appelé Sharklasers. C'est un site Web qui vous donne un courriel généré au hasard (ou un que vous pouvez spécifier) temporairement. Vous pouvez utiliser ce service gratuit pour vous inscrire de façon anonyme. Comme vous pouvez accéder à la boîte de réception de l'email, vous pouvez également recevoir des liens d'activation.
source :
https://towardsdatascience.com/the-importance-of-privacy-sexual-fetishes-salaries-and-other-things-we-know-about-you-165fb48327f2