Vols massifs de données : Adobe, eBay et Google au top 10 des victimes

CloudRisquesSécurité
top-10-vols-donnees

En une infographie, TSC Advantage (protection des actifs numériques) fait le point sur les dix principaux vols de données survenus depuis 2009.

Les sociétés financières avec Heartland Payment Systems en 2009, les groupes Internet avec Google en 2010, les éditeurs de logiciels avec Adobe en 2013, les sites e-commerce avec eBay en 2014 : le périmètre des attaques informatiques s’est significativement élargi au cours des cinq dernières années.

Et lorsque des mastodontes du Web se font attaquer, l’ampleur des dégâts est impressionnante. C’est l’une des principales conclusions établies dans le dernier rapport de TSC Advantage. En une infographie (à voir ci-dessous), ce spécialiste de la protection des actifs numériques et de la propriété intellectuelle dresse un top 10 des vols massifs de données.

En tête de liste, le “plus gros vol de données de l’histoire” implique Adobe. Plus de 150 millions de clients de l’éditeur ont été touchés à en croire un fichier découvert par LastPass, société spécialisée dans la sécurité informatique. Le principal intéressé a relativisé la situation en expliquant que de nombreuses adresses e-mail étaient inactives… et presque autant de mots de passe, non valides. Il est néanmoins pointé du doigt pour ne pas avoir adopté des techniques de chiffrement basiques qui auraient rendu beaucoup plus difficile l’identification des mots de passe. C’est sans compter les dommages collatéraux concernant des enregistrements de cartes de crédit et le code source de plusieurs produits (dont Acrobat et ColdFusion).

Au deuxième rang, on retrouve la longue attaque subie en début d’année par eBay, avec jusqu’à 145 millions d’utilisateurs potentiellement affectés. Une intrusion dans une base de données entre février et mars a exposés diverses données clients : noms, mots de passe, adresses e-mail, dates de naissance, adresses postales ou encore numéros de téléphone. Le groupe e-commerce, qui assure toujours n’avoir détecté aucune fuite d’informations financières, avait invité tous ses membres à réinitialiser leur mot de passe “par précaution”.

Le top 3 est complété par l’offensive menée en 2009 contre Heartland Payment Systems. Pas moins de 130 millions de clients de l’organisme financier américain auraient vu leurs données bancaires exposées à des logiciels espions installés par injection SQL. Principal accusé dans cette affaire, Albert Gonzalez a finalement écopé, en 2010, de 20 ans de prison pour avoir dirigé une bande de cyber-criminels ayant volé des millions de numéros de cartes, avec un préjudice total évalué à 200 millions de dollars pour les entreprises piratées.

En quatrième position, l’attaque dont Target a été la cible en 2013. La troisième enseigne américain de grande distribution a été visée en fin d’année, pendant environ trois semaines jusqu’à la mi-décembre. Le levier ? Un malware logé dans les caisses de points de vente. Le bilan ? Jusqu’à 110 millions de clients touchés, pour un coût total estimé à 420 millions de dollars. Target lui-même a reconnu que le vol en question dépassait les coordonnées bancaires pour toucher à des numéros de téléphone ou encore à des adresses postales. Cinq mois plus tard, le CEO Gregg Steinhafel quittait son poste.

Google n’a pas été épargné et pointe à la 5e place avec cette série de cyber-attaques visant ses infrastructures informatiques en Chine. Une vingtaine d’autres grandes sociétés étaient visée en parallèle, dans les finances, les médias ou encore la chimie. L’assaut visait en priorité les accès à des comptes Gmail de militants pour les droits de l’homme et la liberté d’expression. Il s’agissait en l’occurrence d’infiltrer  les PC de ces opposants au régime par le Web et y placer des outils de surveillance électronique.

Derrière Google, on retrouve Epsilon. Cette filiale d’Alliance Data Systems est l’une des plus grandes sociétés e-marketing aux Etats-Unis avec plusieurs milliers d’entreprises clientes, dont des groupes bancaires (Capital One, US Bank, JPMorgan Chase…) et des spécialistes de l’hôtellerie (Ritz-Carlton, Marriott). En 2011, un accès non autorisé à ses serveurs a exposé les noms et adresses e-mail de tous les internautes ayant accepté de recevoir des offres promotionnelles par le biais d’Epsilon.

Sony figure aussi au top 10 : en 2011, les données personnelles de 77 millions d’utilisateurs – dont plus de 2 millions ayant renseigné des coordonnées bancaires – se sont évaporées lors d’une attaque du PlayStation Network. Cette communauté Internet autour de la console de jeux PS3 a vécu au ralenti pendant plus d’un mois. Concentré sur un data center de Sony situé à San Diego (Californie), l’assaut a entraîné la mise en place de nouvelles mesures de protection et la nomination d’un Chef de la sécurité des informations.

En 8e, 9e et 10e position, on retrouve le Département américain des anciens combattants, la société Global Payments et le groupe Internet AOL. Dans le premier cas, une erreur d’un collaborateur indépendant a révélé des informations sur 70 millions de vétérans de guerre. Dans le deuxième, des accès non autorisés au niveau des serveurs et des systèmes de gestion des transactions a entraîné la fuite de 1,5 million de numéros de carte, pour un préjudice estimé à 93,9 millions de dollars. Concernant AOL, le vol d’adresses mail a permis de lancer des campagnes de phishing touchant potentiellement 120 millions d’internautes.

top-10-vols-donnees

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?

Crédit photo : GlabStock – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur