Barracuda full logo

Trois milliards de dossiers ont été piratés. Quelles leçons pouvons-nous tirer de ce piratage spectaculaire ?

Thèmes:
26 sept. 2024
|
Tony Burgess

National Public Data (NPD) est une entreprise qui vérifie les antécédents. Cela signifie qu’elle gère une vaste base de données contenant des informations sur des centaines de millions de personnes vivantes ou décédées, y compris des noms, des adresses postales, des adresses email, des numéros de téléphone et des numéros de sécurité sociale. 

En août, un hacker informatique nommé Fenice a divulgué près de trois milliards de dossiers (y compris des données dupliquées) qui avaient été volés à NPD dans le cadre d’une violation qui pourrait remonter à décembre 2023.

Bien que certains détails de ce qui s’est passé ne soient pas encore connus et qu’il reste encore beaucoup à juger en ce qui concerne les poursuites et les contestations judiciaires éventuelles contre NPD et sa société mère Jerico Pictures Inc., les grandes lignes de l’incident sont assez claires, et il y a des leçons importantes à en tirer.

Commençons par le commencement

En tant que particulier, vous devez savoir si vos données personnelles sont concernées par la violation et prendre des mesures pour vous protéger de l’usurpation d’identité. Il existe plusieurs services qui vous permettent de savoir si vos données sont concernées par la violation. J’aime bien celui proposé par pentester.com. (Il a trouvé 16 versions de mes données, toutes comprenant mon numéro de sécurité sociale).

Ensuite, si vos données ont été compromises, vous pouvez vous adresser à chacune des trois principales agences d’évaluation du crédit (Equifax, Experian et TransUnion) et geler votre rapport de solvabilité. Cette opération est gratuite et empêche les usurpateurs d’identité d’ouvrir de nouveaux comptes de crédit à votre nom. Vous pouvez lever le gel de façon permanente ou temporaire quand vous le souhaitez, ce qui vous permet de continuer à faire des demandes de crédit assez facilement. Cet article de Krebs on Security fournit de nombreuses informations utiles sur le gel de crédit.

D’ailleurs, même si vos données n’ont pas été touchées par cette violation en particulier, il y a de fortes chances pour qu’elles circulent malgré tout. Les rapports de solvabilité de toute ma famille sont gelés depuis des années. Cela rend l’achat d’une voiture ou la demande d’une ligne de crédit un peu plus difficile, mais pas suffisamment pour faire une réelle différence. Et cela nous offre une tranquillité d’esprit considérable, car nous savons que les pires types de vol d’identité sont beaucoup moins probables.

Alors, que s’est-il passé ? Et cette situation est-elle évitable ?

Comment quelqu’un a-t-il pu contourner le système de sécurité (probablement) robuste de NPD pour accéder à toutes ces données ? Eh bien, il s’avère que ce n’était pas une attaque complexe ou sophistiquée. NPD avait un .zip publié sur son site Web qui contenait des mots de passe pour sa base de données back-end, et quelqu’un l’a trouvé, a compris de quoi il s’agissait et l’a utilisé pour voler trois milliards de dossiers.

Pour un compte rendu technique plus détaillé de ce qui s’y trouvait exactement et des personnes qui se sont emparées des données, Krebs propose un résumé ici. Finalement, quelqu’un avait simplement fait une erreur. Et personne ne l’a remarqué avant qu’il ne soit trop tard.

Cela étant, il est n’est pas possible d’éviter les erreurs humaines. Il est normal que des erreurs se produisent quand des êtres humains sont impliqués. 

Mais le fait que cette erreur soit passée inaperçue pendant si longtemps était évitable. Des audits de sécurité réguliers et fréquents, comprenant une comptabilisation complète de toutes les données exposées publiquement via des sites Web et des applications, devraient faire partie des pratiques de sécurité de toute entreprise.

Dans la mesure du possible, ces audits doivent être complétés par une surveillance automatisée des données et des fichiers publiés ou stockés dans des environnements non sécurisés. L’un de ces services automatisés dont bénéficient de nombreux clients de Barracuda est Data Inspector, qui analyse l’ensemble de leur environnement Microsoft 365 et détecte une grande variété de données sensibles stockées de manière incorrecte dans des emplacements qui ne sont pas suffisamment sécurisés.

Cela réduit le risque de perte de données, favorise la conformité aux réglementations et permet également de détecter les malwares qui pourraient se cacher dans vos déploiements SharePoint et OneDrive sans que personne ne s’en aperçoive. Si vous le souhaitez, vous pouvez dès à présent lancer une analyse gratuite de Data Inspector sur votre environnement Microsoft 365.

S’adapter à l’ère post-violation

L’une des leçons de cette incroyable violation est que les gens font des erreurs. Vous devez l’accepter et intégrer la chasse aux erreurs à vos pratiques de sécurité.

Mais je pense qu’il y a une autre leçon, plus globale, à tirer de cette affaire : d’énormes quantités de données ont déjà été piratées et les cybercriminels peuvent les exploiter comme bon leur semble. Même avant la violation de NPD, de nombreuses violations avaient déjà eu lieu, au cours desquelles des centaines de millions de dossiers avaient été exposés.

Et il ne s’agit pas seulement de noms, de numéros de téléphone et de numéros de sécurité sociale. Ce sont également des noms d’utilisateur et des mots de passe. En réalité, si vous voulez vraiment protéger quelque chose et contrôler qui peut y accéder, vous devez partir du principe que les mots de passe ne sont pas suffisants et que, s’ils n’ont pas encore été volés, ils le seront bientôt. Même l’authentification multifacteur peut être très vulnérable aux attaques modernes. 

Maintenant, la référence absolue en matière de contrôle d’accès à l’ère « post-violation » est l’accès Zero Trust. Le modèle Zero Trust a déjà été adopté par de nombreux pairs, et si vous ne l’avez pas encore étudié, c’est le moment de le faire. 

Le principe du modèle Zero Trust est que de nombreux paramètres différents sont constamment contrôlés pour garantir l’identité de toute personne accédant à des ressources numériques. Toute anomalie est signalée. Ainsi, si je me connecte à mon réseau professionnel avec mes identifiants, mais en utilisant un appareil inconnu, ou depuis un lieu inattendu, ou à un moment incongru, cela est enregistré et peut finir par être considéré comme une indication que quelque chose ne va pas. 

L’accès Zero Trust est intégré à un nombre croissant de solutions Barracuda et constitue un élément fondamental de notre nouvelle plateforme SASE, SecureEdge.

 

Demander un essai gratuit de SecureEdge

 

 

Tony Burgess

Avec plus de 20 ans d'expérience dans le secteur de la sécurité informatique, Tony Burgess est Senior Copywriter for Content and Customer Marketing de Barracuda.À ce titre, il effectue des recherches sur des sujets techniques complexes et traduit les résultats en une prose claire et compréhensible.

Vous pouvez vous connecter avec Tony sur LinkedIn ici.

Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.