Violation de données
Une violation de données est le rejet intentionnel ou non sécurisé de l'information au sein d'un environnement non sécurisé. Les autres termes de ce phénomène peuvent être la divulgation de l'information, la fuite de données et également le déversement de données. "Une violation de données est un incident de sécurité transmettant des données sensibles, protégées ou confidentielles, qui sont volées ou utilisées par une personne non autorisée à le faire."[1] Les violations de données peuvent impliquer des informations financières telles que la carte de crédit ou détails bancaires, les renseignements médicaux personnels (DMP), les informations personnelles identifiables (PII), les secrets commerciaux de sociétés ou de la propriété intellectuelle. La plupart des violations de données implique des vulnérabilités de données non structurées, des fichiers, des documents et des informations sensibles[2].
Selon l'Organisme de défense des consommateurs Privacy Rights Clearinghouse, un total de 227,052,199 dossiers contenant des renseignements personnels ont été impliqués dans des violations de la sécurité des données aux États-Unis entre et .
De nombreux gouvernements ont rappelé à l'ordre les entreprises ayant fait l'objet d'une violation de données afin d'informer les clients et de prendre d'autres mesures pour éviter d’éventuelles nouvelles attaques.
Violation de données médicales
Certaines célébrités sont elles-mêmes victimes de violation de données liées à leur état de santé personnel[3]. Compte tenu de nombreuses violations de données et du manque de confiance du public, certains pays ont adopté des lois exigeant que des garanties soient mises en place pour protéger la sécurité et la confidentialité des informations médicales transmises par voie électronique et pour donner aux patients certains droits importants à surveiller leurs dossiers médicaux et recevoir une notification de la perte et de l'acquisition non autorisée de renseignements sur leur santé. Les États-Unis et l'UE ont imposé cette réglementation[4].
Conséquences
Bien que de tels incidents présentent le risque de vol d'identité ou d'autres conséquences graves, dans la plupart des cas, il n'y a pas de dommages durables : le voleur peut seulement être intéressé par le matériel volé et pas les données qu'il contient[5].
Violation de données majeures
2005
2006
- AOL données de recherche scandale (parfois appelé un "Data Valdez"[11],[12],[13], en raison de sa taille)
- Le ministère des anciens combattants, Peut, à hauteur de 28 600 000 anciens combattants, des réserves, et le service actif le personnel militaire[14],
- Ernst & Young, Mai, 234 000 clients de Hotels.com (après une perte similaire de données sur les 38 000 employés de Ernst & Young clients en février)
- Boeing, en décembre, de 382 000 collaborateurs (après des pertes de données sur de 3 600 employés en avril et de 161 000 salariés, en )
2007
- D. A. Davidson & Co. 192 000 noms des clients, la clientèle de compte et numéros de sécurité sociale, adresses et dates de naissance[15]
- La perte de 2007 de l'Ohio et de l'état du Connecticut données par Accenture
- TJ Maxx, les données pour 45 millions de dollars de crédit et de débit des comptes
- CGI, août, 283,000 les retraités de la Ville de New York
- L'Écart, en septembre, de 800 000 demandeurs d'emploi
- Memorial Center Sang, de décembre, de 268 000 donneurs de sang
- Davidson County Commission Électorale, en décembre, à 337 000 électeurs
2008
- En , GE Money, une division de General Electric, a révélé que une bande magnétique contenant 150 000 numéros de sécurité sociale est connu pour être manquant d'une installation de stockage. J. C. Penney est parmi les 230 détaillants touchés[16].
- Horizon Blue Cross et Blue Shield of New Jersey, janvier, 300 000 membres
- Forces vives de février, les 321.000 donneurs de sang
- Parti National britannique, la liste des membres de fuite[17]
- Au Début de 2008, Countrywide Financial (depuis rachetée par Bank of America), aurait été victime d'une violation de données personnelles. Rene L. Rebollo Jr a volé et vendu à 2,5 millions de numéros de sécurité sociale[18],[19],[20]. En , la Banque de l'Amérique réglé plus de 30 recours collectifs en proposant la gratuité de surveillance du crédit, le vol d'identité d'assurance et de remboursement pour des pertes de 17 millions de consommateurs touchés par la violation de données. Le règlement a été estimée à 56,5 millions de dollars non compris les frais de justice[21].
2009
- En , RockYou! la base de données a été violée contenant 32 millions de noms d'utilisateurs et mots de passe en clair, ce qui compromet encore davantage l'utilisation de mots de passe faibles pour n'importe quel but.
- En , le Royaume-Uni parlementaire des dépenses scandale a été révélé par Le Daily Telegraph. Un disque dur contenant des factures numérisées des membres du Parlement et les Pairs de la Chambre des Lords a été offert à des journaux britanniques à la fin d'avril, avec Le Daily Telegraph, enfin de l'acquérir. Ils ont publié les détails dans les versements à partir du . Bien qu'il ait été l'intention du législateur que les données ont été publiés, ce devait être rédigé dans la forme, avec les détails de chacun de ses membres considérés comme "sensibles" masquée. Le résultat de la tempête médiatique a conduit à la démission du président de la Chambre des Communes et sur l'emprisonnement de plusieurs Députés et Lords pour fraude. Les dépenses a été remanié et renforcé, étant mis davantage sur un pied d'égalité avec le secteur privé les régimes. Le Metropolitan Police Service continue d'enquêter sur de possibles fraudes, et le Crown Prosecution Service envisage d'autres poursuites. Plusieurs Députés et Lords ont présenté des excuses.
- En Heartland payment Systems a annoncé qu'elle avait été "victime d'une violation de la sécurité au sein de son système de traitement"[22]. L'intrusion a été appelé le plus grand criminel de la violation de données de la carte, avec des estimations allant jusqu'à 100 millions de cartes de plus de 650 sociétés de services financiers compromis[23].
2010
- Tout au long de l'année, Chelsea Manning (alors connue sous le nom de Bradley Manning) a publié d'importants volumes de secret militaire de données pour le public, et notamment
- Juillet : Rapports de missions militaires, lors du conflit en Afghanistan, connus sous le nom de Afghan War Diary
- Octobre : Rapports de missions militaires, lors du conflit en Irak (voir Iraq War documents leak (en))
- Novembre : Télégrammes de la diplomatie américaine,
2011
- En , la société HBGary (en) voit sa message exposée[24], exposant le fait que la société cherchait à déterminer l'identité de membres du collectif Anonymous pour le compte Bank of America[25].
- En , Sony a connu une violation de données à l'intérieur de leur Réseau de PlayStation. Il est estimé que les informations de 77 millions d'utilisateurs a été compromise.
- En , Citigroup a révélé une violation de données à l'intérieur de leur carte de crédit, affectant environ 210 000 ou 1% des comptes de leurs clients[26].
2012
2013
- En , Adobe Systems a révélé que leur base de données d'entreprise a été piraté et quelque 130 millions d'utilisateurs ont été volées. Selon Adobe, "depuis plus d'un an, le système d'authentification a cryptographiquement hacké à l'aide de l'algorithme SHA-256. Le système d'authentification impliqués dans l'attaque était un système de sauvegarde et a été désigné pour être mis hors service. Le système impliqué dans l'attaque utilisées Triple DES pour protéger toutes les informations comme les mots de passe stockés."[29]
- , Target Corporation a annoncé que les données de près de 70 millions de dollars de crédit et de débit cartes ont été volés. Il est le deuxième plus grand groupe collectant les crédits et les débits de carte la TJX. Cette même entreprise a été victime elle aussi d'une violation des données avec près de 46 millions de cartes touchés[30].
- En 2013, Edward Snowden a publié une série de documents secrets qui ont révélé largement l'espionnage pratiqué par les États-Unis avec l'Agence Nationale de la Sécurité et des organismes similaires dans d'autres pays.
2014
- En , près de 200 photos de célébrités ont été affichés sur le site web du conseil de 4chan. Une enquête menée par Apple a trouvé que les images ont été obtenues "par une attaque très ciblée sur les noms d'utilisateur, mots de passe et questions de sécurité"[31].
- En , Home Depot a subi une violation de données contre 56 millions de numéros de carte de crédit[32].
- En , Staples a subi une violation de données contre 1,16 million de clients de cartes de paiement[33].
- En Sony Pictures Entertainment a subi une violation de données impliquant des renseignements personnels à propos de Sony Pictures contre leurs employés et de leurs familles, avec des e-mails entre les employés, des informations sur les salaires des cadres à l'entreprise, des copies de films inédit produit par Sony, et d'autres informations. Les pirates impliqués affirment avoir pris plus de 100 téraoctets de données à Sony[34].
2015
- En , Hymne a subi une violation de données de près de 80 millions de disques, y compris des informations personnelles telles que les noms, numéros de Sécurité Sociale, date de naissance, et autres informations sensibles[35].
- En , Le Bureau de Gestion du Personnel du gouvernement US a subi une violation de données dans lequel les enregistrements de 22,1 millions de dollars actuels et d'anciens employés du gouvernement fédéral des États-unis ont été piraté ou volé[36].
- En , le site pour adulte Ashley Madison a subi une violation de données lorsqu'un groupe de pirates informatiques ont volé des informations sur ses 37 millions d'utilisateurs. Les pirates ont menacé de révéler les noms d'utilisateur et les détails de leur recherche[37].
- En , la British Telecommunications fournisseur de TalkTalk a subi une violation de données lorsqu'un groupe de pirates ont volé des informations sur ses 4 millions de clients. Le prix des actions de la société a diminué considérablement autour de 12% – en grande partie en raison de la mauvaise publicité entourant la fuite[38].
2016
- En , le site web de la Commission sur les Élections aux Philippines a été profané par des hacktivistes : "Anonyme Philippines"[39].
- En , les médias dévoilent et assument avoir permis le vol des données du cabinet d'avocats, Mossack Fonseca, avec les “Panama Papers”[40]. Le Premier Ministre de l'Islande a été contraint de démissionner[41] et un important remaniement de bureaux politiques survenus dans des pays aussi lointains que Malte[42]. Plusieurs enquêtes ont été immédiatement entreprises dans des pays à travers le monde[43],[44].
- En , Yahoo a indiqué que jusqu'à 500 millions de comptes en 2014 ont été volés. Il a été rapporté plus tard en que 3 milliards de comptes ont été volés.
2017
- Equifax, en , 145,500,000 dossiers des consommateurs, ont connu une violation des données[45],[46]. Au début d', les villes de Chicago et de San Francisco et le Commonwealth du Massachusetts ont déposé des sanctions contre les Equifax la suite de la violation de données, dans lequel les pirates auraient exploité une vulnérabilité dans le logiciel open source utilisé pour créer en ligne des litiges de consommation[47].
- États-unis-Corée du Sud classé les documents militaires, , le Sud-coréen législateur a prétendu que les pirates Nord-coréens de plus de 235 gigaoctets de militaires les documents ont été prises à partir de la Défense Intégrée de Centre de Données en . Des documents divulgués, y compris la Corée du Sud-états-UNIS en temps de guerre le plan opérationnel[48].
- Paradise Papiers, en .
2018
- Facebook et Cambridge Analytica violation de données en Mars[49].
- Le , Under Armour a révélé une violation de données de 150 millions de comptes à MyFitnessPal, avec les données compromises composé de noms d'utilisateur, adresses e-mail et mots de passe[50].
- Il a été signalé le qu'une violation de données s'est produite à Saks Fifth Avenue / Lord & Taylor. Environ 5 millions de détenteurs de carte de crédit ont pu avoir leurs données compromise dans les magasins en Amérique du Nord[51].
Références
- United States Department of Health and Human Services, Administration for Children and Families. Information Memorandum. Retrieved 2015-09-01.
- (en-US) « Panama Papers Leak: The New Normal? », Xconomy, (consulté le )
- Charles Ornstein, « Hospital to punish snooping on Spears », Los Angeles Times, (lire en ligne, consulté le )
- Patrick Kierkegaard, « Medical data breaches: Notification delayed is notification denied », Computer Law, vol. 28, no 2, , p. 163–183 (DOI 10.1016/j.clsr.2012.01.003, lire en ligne, consulté le )
- « Data Breach Hurts Profit at Target », The New York Times, (consulté le )
- "Chronology of Data Breaches", Privacy Rights Clearinghouse
- "ChoicePoint to pay $15 million over data breach", NBC News
- « 276 Unique Names of MI6 Officers », sur cryptome.org (consulté le )
- « 276 British Spies - Schneier on Security », sur www.schneier.com (consulté le )
- (en) « Site allegedly exposes British secret agents », sur CNET (consulté le )
- data Valdez Doubletongued dictionary
- AOL's Massive Data Leak, Electronic Frontier Foundation
- data Valdez, Net Lingo
- "Active-duty troop information part of stolen VA data", Network World, June 6, 2006
- Jeff Manning, « D.A. Davidson fined over computer security after data breach », The Oregonian, (lire en ligne, consulté le )
- « GE Money Backup Tape With 650,000 Records Missing At Iron Mountain », InformationWeek, sur InformationWeek (consulté le )
- « UK - BNP activists' details published », BBC (consulté le )
- « Bank of America settles Countrywide data theft suits », Los Angeles Times, sur Los Angeles Times,
- "Countrywide Sued For Data Breach, Class Action Suit Seeks $20 Million in Damages", Bank Info Security, April 9, 2010
- "Countrywide Sold Private Info, Class Claims", Courthouse News, April 5, 2010
- "The Convergence of Data, Identity, and Regulatory Risks", Making Business a Little Less Risky Blog
- Heartland Payment Systems Uncovers Malicious Software In Its Processing System « Copie archivée » (version du 27 janvier 2009 sur l'Internet Archive)
- Lessons from the Data Breach at Heartland, MSNBC, July 7, 2009
- (en) Ms Smith, « Project PM Leaks Dirt on Romas/COIN Classified Intelligence Mass Surveillance », sur CSO Online, (consulté le )
- (en) John Leyden, « Anonymous security firm hack used every trick in book », sur www.theregister.com (consulté le )
- Andy Greenberg, « Citibank Reveals One Percent Of Credit Card Accounts Exposed In Hacker Intrusion », Forbes, (lire en ligne, consulté le )
- « The Global Intelligence Files - List of Releases », sur web.archive.org, (consulté le )
- « South Carolina: The mother of all data breaches », The Post and Courier, (lire en ligne, consulté le )
- Goodin, Dan. (2013-11-01) How an epic blunder by Adobe could strengthen hand of password crackers. Ars Technica. Retrieved 2014-06-10.
- « Target Confirms Unauthorized Access to Payment Card Data in U.S. Stores », Target Corporation, (lire en ligne, consulté le )
- « Apple Media Advisory: Update to Celebrity Photo Investigation », Business Wire, StreetInsider.com, (lire en ligne, consulté le )
- Melvin Backman, « Home Depot: 56 million cards exposed in breach », CNNMoney, (lire en ligne)
- « Staples: Breach may have affected 1.16 million customers' cards », Fortune, (lire en ligne, consulté le )
- James Cook, « Sony Hackers Have Over 100 Terabytes Of Documents. Only Released 200 Gigabytes So Far », Business Insider, (lire en ligne, consulté le )
- (en) « Data breach at health insurer Anthem could impact millions », sur krebsonsecurity.com,
- "Hacks of OPM databases compromised 22.1 million people, federal authorities say". The Washington Post. July 9, 2015.
- « Online Cheating Site AshleyMadison Hacked », krebsonsecurity.com, (consulté le )
- « TalkTalk Hacked…Again » [archive du ], Check&Secure, (consulté le )
- « 5 IT Security Lessons from the Comelec Data Breach », sur IT Solutions & Services Philippines - Aim.ph (consulté le )
- The massive Panama Papers data leak explained. Computerworld. April 5, 2016.
- Kimiko De Freytas-tamura, « Iceland’s Prime Minister Resigns, After Pirate Party Makes Strong Gains », The New York Times, (lire en ligne, consulté le )
- Allied Newspapers Ltd, « Watch: Will Panama scandal go away after the reshuffle? », Times of Malta, (lire en ligne, consulté le )
- « U.S. Readies Bank Rule on Shell Companies Amid 'Panama Papers' Fury », NBC News, (lire en ligne, consulté le )
- « Can secrets stay secret anymore? », CIO Dive, (lire en ligne, consulté le )
- Mathews, Lee, "Equifax Data Breach Impacts 143 Million Americans", Forbes, September 7, 2017.
- Mills, Chris, "Equifax is already facing the largest class-action lawsuit in US history", BGR, September 8, 2017.
- Sarah T. Reise, « State and Local Governments Move Swiftly to Sue Equifax », The National Law Review, Ballard Spahr LLP, (lire en ligne, consulté le )
- North Korea hackers stole South Korea-U.S. military plans to wipe out North Korea leadership: lawmaker, Reuters, Christine Kim, October 10, 2017
- (en) Emma Graham-Harrison et Carole Cadwalladr, « Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach » [archive du ], sur The Guardian,
- « MyFitness Pal Data Breach March 15, 2018 - Hacked », sur www.javarosa.org (consulté le )
- « Saks, Lord & Taylor breach: Data stolen on 5 million cards », CNNMoney (consulté le )
Crédit d'auteurs
- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Data breach » (voir la liste des auteurs).
Voir aussi
Articles connexes
Liens externes
- "La Perte de données de la Base de données" est un projet de recherche visant à documenter connu et signalé les incidents de perte de données dans le monde entier.
- "Une Chronologie des Violations de Données", Privacy Rights Clearinghouse, mis à jour deux fois par semaine
- "Les violations Affectant 500 Personnes ou Plus", des Manquements signalés au Ministère AMÉRICAIN de la Santé et des Services à la personne par (HIPAA-couverts) les entités
- "Ce qui est une Violation de Données?"
- Portail de l’informatique