Halloween, le jour le plus effrayant de l'année, est arrivé ! Cependant, les observations traditionnelles de cette fête populaire peuvent être entravées par la pandémie qui sévit à l'extérieur. Alors que les enfants se promènent généralement dans les rues en portant des costumes effrayants pour récolter des bonbons et que les adultes assistent à des fêtes costumées, la situation actuelle nous oblige à réinventer les célébrations. La plupart d'entre nous seront probablement emmitouflés dans leurs couvertures dans le confort de leur foyer, buvant des boissons chaudes aromatisées à la citrouille en regardant des histoires d’horreur, ou mieux encore, les racontant.

Le cybermonde a lui aussi de nombreuses histoires effrayantes à raconter. Malheureusement, contrairement à celles qui sont racontées à Halloween, ces histoires sont bel et bien réelles.

Equifax

En 2017, Equifax, l'une des plus grandes agences d'évaluation du crédit aux États-Unis, a été victime d'une brèche de données d’une ampleur gargantuesque. La brèche qui a duré environ 78 jours a été causée par une vulnérabilité dans le cadre de l'application web Apache Struts, pour laquelle un patch avait été publié mais qu'Equifax n'avait pas appliqué à temps. Les acteurs de la menace à l'origine de l'incident ont pu siphonner les données personnelles de près de 148 millions d'Américains, 15,2 millions de Britanniques et près de 19 000 Canadiens. Ces données comprenaient un large éventail d'informations personnelles identifiables (IPI), notamment les numéros de sécurité sociale, les dates de naissance et les adresses, qui pouvaient toutes être utilisées pour commettre des fraudes à l'identité. En ce qui concerne les dommages financiers subis par Equifax, la société estime que les coûts liés à l'incident de cybersécurité s'élèvent actuellement à environ 1,7 milliard $ US.

Marriott

En 2018, Marriott International, l'une des plus grandes chaînes hôtelières du monde, a subi une importante brèche de données concernant sa base de données de réservation. Marriot a d'abord estimé que pas moins de 500 millions de ses clients pourraient avoir été touchés par le cyber-incident, mais a ensuite modifié son estimation à 383 millions. Les informations de clients compromises lors de l'incident comprenaient une combinaison de nom, adresse postale, numéro de téléphone, adresse électronique, numéro de passeport, informations sur le compte Starwood Preferred Guest (SPG), date de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication. Dans certains cas, les numéros de cartes de paiement et leurs dates d'expiration ont également été compromis. Les données compromises ont pu être utilisées dans un large éventail d'attaques, notamment l’hameçonnage, les attaques d'ingénierie sociale, la fraude par carte de crédit et l'usurpation d'identité. Jusqu'à présent, la société a encouru des coûts d'environ 72 millions $ US pour la brèche, mais 71 millions de dollars US ont été remboursés par l'assurance. Cependant, Marriott pourrait encore être confronté à une lourde somme de pénalités, puisque l'autorité britannique de protection des données cherche à servir la chaîne hôtelière avec une amende de 99 millions £ (123 millions de dollars US).

eBay

En tant que l'une des plus grandes places de marché en ligne du monde, surtout connue pour ses ventes aux enchères, eBay n'a probablement pas besoin d'être présentée. En 2014, la société a révélé qu'elle avait été victime d'une attaque qui a touché jusqu'à 145 millions de ses utilisateurs actifs. Selon l'entreprise, l'origine de l'attaque remonte à la compromission d'un petit nombre d'identifiants de connexion des employés. Les données compromises dans la brèche comprenaient les IPI des clients, telles que les noms, les adresses électroniques et physiques, les numéros de téléphone et les dates de naissance, ainsi que les mots de passe cryptés, qui pouvaient tous être utilisés dans diverses formes de cyberattaques et de tentatives de frauder les victimes potentielles.

Target

En 2013, Target, l'un des plus grands détaillants des États-Unis, a subi une importante brèche de données qui a touché plus de 41 millions de comptes de cartes de paiement de clients ainsi que les coordonnées de plus de 60 millions de clients. Les cybercriminels à l'origine de l'attaque ont pu accéder aux noms des clients, aux numéros de téléphone, aux adresses électroniques, aux numéros et aux dates d'expiration des cartes de crédit et de débit, ainsi qu'aux codes PIN et aux codes de vérification chiffrés des cartes de crédit. Selon Target, les codes PIN ont été cryptés avec le Triple Data Encryption Standard, ce qui les rendrait difficiles à déchiffrer. Cependant, en utilisant les informations recueillies dans la brèche, les cybercriminels pourraient commettre des fraudes par carte de crédit et des usurpations d'identité. À la suite de l'incident, Target a offert des services de surveillance du crédit et a réglé un recours collectif de 10 millions $ US dans lequel elle promettait de payer jusqu'à 10 000 dollars américains à tous les clients qui pourraient prouver qu'ils avaient subi des pertes en raison de la brèche des données. Elle a également dû payer un règlement multi-États de 18,5 millions de dollars US.

Adult Friend Finder

En 2016, la société de rencontres et de divertissements pour adultes FriendFinder Network a fait l'objet d'une brèche, exposant plus de 412 millions de comptes d'utilisateurs. L'énorme brèche de données comprenait 339 millions de comptes du site web AdultFriendFinder.com ainsi que 15 millions de comptes supprimés qui n'avaient pas été éliminés de ses bases de données. La mine de données consistait en 20 ans de dossiers provenant des plus grands sites web de l'entreprise et comprenait des noms d'utilisateur, des adresses électroniques, des mots de passe, des données d'adhésion au site, des informations sur le navigateur, la dernière adresse IP utilisée pour se connecter et même si l'utilisateur avait payé des articles. Il convient de noter que les mots de passe, qui avaient apparemment été convertis en minuscules, étaient stockés en clair ou brouillés comme un hachage SHA-1, ce qui n'est pas une mesure de sécurité suffisante et la plupart des mots de passe ont été facilement et rapidement craqués. Bien que les gens soient plus libéraux à notre époque, ils ne voudraient probablement pas annoncer leurs visites ou leurs activités sur de tels sites web en gardant très probablement le secret. Malheureusement, les données divulguées permettraient aux chapeaux noirs de cibler facilement ces personnes et d'utiliser les données pour ruiner leur réputation, les faire chanter sous la menace de révéler des informations sensibles qu'ils souhaiteraient garder cachées, ou utiliser les mots de passe craqués dans d'autres attaques de bourrage d'identifiants.

Ce ne sont là que quelques-unes des histoires effrayantes que le cybermonde présente. Bien que lire ces histoires peut s’avérer terrifiant, elles devraient servir de mise en garde pour les consommateurs et les entreprises — que la cybersécurité ne doit jamais être prise à la légère.