Adobe, Sony, eBay…les 15 vols de données emblématiques en 2014

Groupes Internet, éditeurs de logiciels, sites e-commerce, sociétés financières, enseignes de distribution, opérateurs télécoms : aucun de ces secteurs n’a été épargné par les cyber-attaques en 2014.

Qu’elle soit évaluée en fonction de la quantité de données volées, du nombre d’utilisateurs touchés ou encore du préjudice financier, l’ampleur des dégâts est souvent impressionnante. La stratégie de communication des entreprises aussi : quand certains jouent la transparence, d’autres jouent la montre. Les bilans ont souvent tendance à s’alourdir à mesure qu’avancent les enquêtes. Et les motivations des pirates ne sont pas toujours claires. Il n’est d’ailleurs pas rare que des données s’évanouissent sans jamais que l’on puisse repérer de preuves de leur exploitation.

D’Adobe à Sony en passant par eBay, AOL, Yahoo, Snapchat et Dropbox, voici une liste – non exhaustive – de 15 vols massifs de données qui ont marqué l’année.

Sony soit qui mal y pense

Difficile de ne pas ouvrir la liste avec la cyber-attaque perpétrée fin novembre contre Sony Pictures. L’étau se resserre autour de la société de production filiale du groupe high-tech japonais : le collectif de pirates Guardian of Peace, qui revendique les méfaits, a des motivations bien précises, dont celle d’empêcher la diffusion du film « The Interview ». Cette comédie réalisée par Evan Goldberg et Seth Rogen relate un complot fictif de la CIA pour tuer le dirigeant nord-coréen Kim Jong-un.

De nombreux indices laissent supposer que Guardian of Peace est proche du régime autoritaire tourné en dérision dans le film. Mais des zones d’ombre demeurent au regard des avertissements émis… en brandissant l’épouvantail du 11 septembre 2001. Si bien que le gouvernement américain hésite aujourd’hui à lancer des représailles contre Pyongyang. Du côté de Sony Pictures, on a fini, après trois semaines de perturbations, par capituler en suspendant la sortie en salles de « The Interview ». La première à New York devait se tenir le jour de Noël.

En plus d’entraîner des interruptions d’activité à l’échelle du réseau de Sony Pictures, cette cyber-attaque a occasionné la fuite d’au moins 40 Go de données, dont du code source, des clés de chiffrement et des documents d’identité relatifs à des personnalités comme Cameron Diaz et Angelina Jolie. Sur la liste figurent aussi des informations d’ordre financier ou encore médical liées à plusieurs dizaines de milliers d’employés.

Adobe et eBay : c’est du lourd

La palme des dommages collatéraux revient à Adobe. Tout a commencé à l’automne 2013, mais la cyber-attaque lancée contre l’éditeur américain a fait l’objet d’une surenchère médiatique se prolongeant sur une bonne partie de l’année 2014. Semaine après semaine, le bilan s’est alourdi… pour atteindre les 152 millions de clients touchés, à en croire un fichier découvert par LastPass (société spécialisée dans la protection des identités numériques).

Pointé du doigt pour ne pas avoir adopté de techniques de chiffrement, même basiques, Adobe s’est défendu en expliquant que de nombreuses adresses e-mail récupérées par les pirates étaient inactives ; et presque autant de mots de passe, invalides. Problème : d’autres éléments ont fuité, comme des enregistrements de cartes de crédit et le code source de plusieurs produits dont Acrobat et ColdFusion.

eBay fait presque jeu égal avec Adobe au vu de l’avertissement adressé le 21 mai 2014 à ses 145 millions de membres, tous invités à changer leur mot de passe après une intrusion dans une base de données. Le groupe e-commerce est resté discret sur le mode opératoire des pirates, qui ont commis leur larcin entre fin février et début mars. Ils ont vraisemblablement récupéré les comptes administrateurs d’une petite partie des collaborateurs d’eBay pour pénétrer le réseau de l’entreprise. Aujourd’hui encore, il n’existe aucune preuve formelle démontrant des effets collatéraux sur la filiale PayPal.

Snapchat et Dropbox dans le même panier

Certains éditeurs ont été touchés à plusieurs reprises. C’est le cas de Snapchat. La start-up californienne a d’abord été victime, en janvier 2014, d’un piratage « pédagogique » visant à la convaincre de corriger une faille de sécurité qui affectait depuis plusieurs mois son service d’envoi de messages « éphémères ». Cette attaque a exposé les données personnelles de 4,6 millions d’utilisateurs. Elle consistait à utiliser l’API Snapchat pour écrire un programme destiné à générer une liste de numéros de téléphone, puis à la parcourir en associant automatiquement les noms des utilisateurs de l’application.

La deuxième alerte est survenue au mois d’octobre, avec un lourd bilan : des milliers de photos et vidéos privées (plus de 100 000, selon les experts) exfiltrées et publiées sur Internet. Un éditeur tiers a fini par endosser la responsabilité. En l’occurrence, SnapSaved.com et son application proposant de sauvegarder les photos avant qu’elles ne disparaissent. Snapchat a tout de même été pointé du doigt pour ne pas avoir été capable de repérer efficacement les canaux alternatifs par lesquels les utilisateurs parviennent à s’identifier… alors même que sa politique n’autorise pas d’interaction avec des applications tierces.

Quelques jours plus tard, un autre éditeur a été pris au piège via son API : Dropbox. Déjà victime d’un vol massif de données en 2012 (l’effraction du compte d’un employé avait ouvert l’accès à une importante liste d’adresses e-mail stockées en clair), la société dirigée par Andrew Houston s’est vue contrainte à bloquer des comptes et à inviter les utilisateurs à réinitialiser leurs mots de passe. Cette décision faisait suite au constat d’un piratage ayant entraîné la fuite d’environ 7 millions de paires identifiant – mot de passe associés au service de stockage en ligne… et rapidement monnayées en bitcoins.

Du grabuge sur les webmails

Autre cible privilégiée des pirates informatiques : les messageries électroniques. AOL en a fait les frais au mois d’avril. La firme américaine évalue à 100 000 le nombre de comptes touchés… mais ce sont bien, potentiellement, les données de 120 millions d’utilisateurs qui ont fuité. Les informations récupérées ont probablement été exploitées à des fins de « spoofing » (usurpation d’identité) : les pirates exploitent les contacts récupérés pour envoyer du spam via d’autres comptes aol.com. Pour limiter l’envoi de mail @aol.com depuis d’autres services de courrier électronique, AOL a dû modifier certaines règles, notamment en ajoutant une ligne de code dans la politique de gestion DMARC (« Domain-based Message Authentification Reporting and Conformance »).

Yahoo a également connu une alerte sur son webmail. Au mois de janvier, le groupe Internet de Marissa Mayer a détecté des accès frauduleux via une base de données tierce comprenant les adresses e-mail et mots de passe d’un certain nombre de membres. On ignore aujourd’hui encore combien d’utilisateurs – sur les 100 millions qui se connectent au moins une fois par jour – ont été inquiétés. Par mesure de sécurité, il a été a demandé à tous, sans exception, de changer de mot de passe.

Yahoo a refait parler de lui en octobre pour une autre intrusion dans plusieurs de ses serveurs. La multinationale a d’abord évoqué une attaque liée à la faille Shellshock et s’est finalement dédit après examen de la situation. Deux mois plus tard, il maintient que les données personnelles de ses utilisateurs n’ont pas été affectées, mais sa communication reste nébuleuse. Il semble que les pirates se soient appuyés sur un script de débogage provisoire pour exploiter la faille CVE-2014-6271, qui affecte l’environnement console Bash (« Bourne-again shell ») utilisé par défaut sur de nombreux serveurs.

Autre géant de la Silicon Valley à figurer au top 15 : Apple, avec à son actif le feuilleton de la rentrée. Des pirates ont exploité un script Python pour attaquer des comptes iCloud par « force brute » à travers la fonction « Find my Phone », qui permet de localiser un appareil mobile sous iOS. Conséquence : une atteinte à la vie privée d’une pléiade de personnalités (Rihanna, Hillary Duff, Jennifer Lawrence, Kate Upton, Keke Palmer, Kim Kardashian…) dont les photos privées se sont envolées sur le Web. Elles ont parfois été monnayées sur des forums underground contre des bitcoins. Cet épisode a relancé le débat sur le degré de sécurité des services cloud et sur la protection des données lorsqu’elles sont hébergées par des entreprises tierces.

Orange voit rouge

Dans la catégorie des opérateurs télécoms, Orange a connu plusieurs frayeurs cette année. Première alerte en février : une faille dans la messagerie électronique avait exposé les informations renseignées par 800 000 clients. Trois mois plus tard, les clients recevaient un message d’information : 1,3 million d’entre eux – en comptant les prospects – étaient concernés par une intrusion dans la plate-forme technique exploitée par Orange pour envoyer SMS et courriers électroniques dans le cadre de campagnes commerciales.

Cette attaque a entraîné la copie de nombreuses informations exploitables à des fins de hameçonnage (envoi d’e-mails légitimes en apparence et incluant des fichiers ou des liens hypertexte piégés). Elle avait été découverte le 18 avril, mais Orange s’est donné le temps de « quantifier le vol de données, verrouiller le réseau technique, [résorber] la faille et ‘dédoublonner’ les listes qui contenaient plusieurs fois les mêmes noms ».

Certains opérateurs ont subi des intrusions d’un tout autre acabit : Deutsche Telekom est l’un des nombreux acteurs du marché allemand des télécoms à avoir été infiltré par les agences de renseignement. Son réseau a été cartographié par la NSA et son homologue britannique (le GCHQ) dans le cadre d’un programme baptisé « Treasure Maps » et mené avec la complicité des services secrets locaux. Des identifiants piratés ont permis l’accès à des serveurs, ainsi qu’aux terminaux des abonnés.

« Target locked »

La grande distribution n’a pas été épargnée. Illustration avec cette attaque massive contre l’enseigne américaine Target, survenue fin 2013, mais qui a eu un retentissement tout au long de l’année 2014. Les données de paiement d’au moins 70 millions d’individus ont été aspirées par le biais d’un malware installé dans les caisses des points de vente. Selon le Cercle européen de la sécurité et des systèmes d’information, le coût moyen par personne s’élèvera entre 20 et 200 dollars. Target doit déjà faire face à de multiples actions en justice intentées notamment par des banques. Le CEO Gregg Steinhafel, qui collaborait avec l’enseigne depuis 35 ans, a été remercié début mai.

Au printemps, une autre enseigne de distribution américaine est tombée dans la nasse des pirates : Home Depot. Les investigations officielles n’ont débuté que le 2 septembre, après la découverte de la faille par des banques qui s’étaient aperçues que les numéros de cartes de plusieurs millions de leurs clients étaient à vendre sur des places de marché en ligne.

La méthode d’attaque s’apparente à celle utilisée contre Target : envoi d’e-mails piégés à certains collaborateurs ou sous-traitants ; obtention d’identifiants permettant de déployer, sur les terminaux de paiement, une variante du malware BlackPOS ; extraction des données bancaires au moment du processus d’autorisation des transactions. L’ensemble des 2200 magasins Home Depot aux Etats-Unis et au Canada ont été touchés.

Le bilan officiel est tombé en octobre : 56 millions de numéros de cartes exfiltrés et 53 millions d’adresses électroniques. Home Depot se prépare à des dépenses significatives pour juguler ce vol massif de données : dépenses auprès de sous-traitants, mise en place de services de protection d’identité et de suivi des encours de crédit pour les consommateurs, lancement d’un numéro vert et augmentation des effectifs dans les centres d’appels, etc.

Des banques aux hôpitaux

Les cyber-criminels ont aussi frappé dans le secteur de la finance. Ils s’en sont notamment pris à JPMorgan Chase & Co. En décembre 2013, la banque avait notifié 465 000 de ses porteurs de cartes d’une éventuelle fuite de leurs données bancaires liée à un piratage informatique. Mais le plat de résistance n’est arrivé qu’au coeur de l’été : 83 millions de comptes d’utilisateurs infiltrés, dont 7 millions appartenant à des PME.

D’après le gouvernement américain, l’attaque – dont les premières traces ont été découvertes en juillet, mais qui remonterait à juin – s’est inscrite dans une série d’offensives lancées depuis l’Iran et visant d’autres établissements financiers majeurs : Wells Fargo, Bank of America, Citigroup et HSBC. Dans l’état actuel, JPMorgan assure qu’aucun élément sensible (mots de passe, numéros de Sécurité sociale) n’a fuité et qu’il n’existe aucune preuve formelle que les données récupérées par les pirates aient bien été exploitées.

Autre entreprise ciblée : le Community Health Systems (CHS). Un pirate chinois est parvenu à accéder aux données (nom, adresse, date de naissance, numéros de téléphone et de Sécurité sociale) de 4,5 millions de patients pris en charge dans l’un des 135 hôpitaux que le CHS gère à l’échelle de 29 Etats américains. Menée en avril-juin à partir de la faille Heartbleed résidant dans le protocole SSL, l’attaque ciblée persistante (APT, pour « Advanced Persistent Threat ») n’a, officiellement, pas permis l’accès aux informations médicales.

Un pour tous…

Certaines attaques visent beaucoup plus large. Au mois d’août, la firme américaine Hold Security levait le voile sur une vaste campagne de piratage impliquant plus de 420 sites Web et serveurs FTP, avec un butin significatif : 1,2 milliard de mots de passe correspondant à environ 500 millions d’adresses e-mail différentes.

A l’origine de cette campagne, on retrouve un collectif de pirates vraisemblablement d’origine russe qui a acheté, sur le marché noir, des bases de données ensuite exploitées pour envoyer du spam déclenchant l’installation, sur les machines des victimes, d’un logiciel malveillant effectuant des redirections de trafic. Une phase de test avait eu lieu en amont pour détecter les sites et serveurs FTP vulnérables à des injections SQL.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?

(Crédit photo : Shutterstock.com – Droit d’auteur : Creativa Images)