Le 28 décembre 2023 - Dans un contexte d’incertitude macroéconomique et géopolitique persistante, les acteurs malveillants ont continué à prospérer, utilisant tous les outils à leur disposition ainsi que leur ingéniosité pour contourner les défenses des entreprises. Pour les consommateurs, c’était une autre année passée à lire anxieusement sur les gros titres pour voir si leurs informations personnelles auraient été affectées.
Selon le Data Breach Investigations Report (DBIR) de Verizon, les acteurs externes sont responsables de la grande majorité (83 %) des violations et les gains financiers représentent la quasi-totalité (95 %) des violations. La plupart des incidents présentés dans cette liste sont occasionnés par du ransomware ou des vols de données. Mais parfois, la cause peut être une erreur humaine ou quelqu’un de malveillant en interne. Parfois, les attaques peuvent avoir un impact démesuré, même si le nombre de victimes est relativement réduit.
Voici la sélection d’ESET parmi les plus grandes attaques de 2023.
1) MOVEit
Remontant jusqu’au ransomware Lace Tempest (Storm0950) Clop, cette attaque présentait toutes les caractéristiques des précédentes campagnes du groupe contre Accellion FTA (2020) et GoAnywhere MFT (2023). Le mode opératoire est simple : une vulnérabilité Zero Day dans un produit logiciel populaire est utilisée pour accéder aux environnements clients, puis pour exfiltrer autant de données que possible et obtenir une rançon. On ne sait pas exactement quelle quantité de données ont été collectées ni combien de victimes il y a eu. Mais selon des estimations il y aurait plus de 2 600 organisations et plus de 83 millions de personnes. Bon nombre de ces organisations étaient des fournisseurs ou des prestataires de services et cela n’a fait qu’ajouter à l’impact en aval.
2) La Commission électorale britannique
En août le régulateur britannique pour le financement des partis et des élections a révélé que des hackeurs avaient volé les données personnelles d’environ 40 millions d’électeurs inscrits sur les listes électorales. L'organisation a affirmé qu'une cyberattaque «complexe» était responsable, mais maintenant des rapports suggèrent que sa sécurité était médiocre car elle avait échoué à un audit sécuritaire de base de Cyber Essentials. Un serveur Microsoft Exchange non patché peut en être la cause et la raison pour laquelle il a fallu 10 mois pour informer le public n'est pas claire. Il a aussi été dit que les acteurs malveillants sondaient peut-être le réseau de l’organisation depuis août 2021.
3) Le service de police d'Irlande du Nord (PSNI)
C’est un incident qui entre dans la catégorie des violations internes et dans celle des violations impliquant un nombre restreint de victimes susceptibles de subir un impact démesuré. En août, le PSNI a annoncé qu'un employé avait accidentellement publié des données internes sur le site WhatDoTheyKnow en réponse à une demande d'accès à l'information (Freedom of Information -FOI). Les informations comprenaient les noms, grades et départements d'environ 10 000 officiers et membres du personnel civil, y compris ceux actifs dans la surveillance et le renseignement. Même si l'information n'est restée que deux heures avant d'être retirée, cela a permis de la faire circuler parmi les dissidents républicains irlandais, qui l'ont diffusée. Deux hommes ont été libérés sous caution après avoir été arrêtés pour des délits terroristes.
4) DarkBeam
La plus grande violation de données de l'année a vu 3,8 milliards d'enregistrements exposés par la plate-forme de risque numérique DarkBeam après la mauvaise configuration des interfaces de visualisation de données Elasticsearch et Kibana. Un chercheur en sécurité a remarqué le problème et en a informé l'entreprise qui l’a rapidement corrigé. Mais on ne sait pas combien de temps les données ont été exposées ni si quelqu’un y a accédé dans un but néfaste. Ironiquement, les données contenaient des e-mails et des mots de passe provenant de violations de données signalées et non signalées. Cela illustre la nécessité de surveiller en permanence les systèmes pour détecter toute mauvaise configuration.
5) Le Conseil indien pour la recherche médicale (ICMR)
Une autre méga-violation, une des plus importantes en Inde, date d’octobre, après qu’un acteur malveillant ait mis en vente les informations personnelles de 815 millions d’habitants. Il semble que les données étaient exfiltrées de la base de données des tests COVID de l’ICMR et comprenaient le nom, l’âge, le sexe, l’adresse, le numéro de passeport et le numéro d’identification gouvernemental (Aadhaar). Cela peut donner aux cybercriminels ce dont ils ont besoin pour des attaques d’usurpation d’identité. En Inde Aadhaar s’utilise comme identification numérique, pour le paiement de factures et les chèques Know Your Customer.
6) 23andMe
Un acteur malveillant a affirmé avoir volé près de 20 millions de données de l’organisation américaine de génétique et de recherche. Il semble qu’il ait d’abord utilisé des techniques classiques de bourrage d’informations d’identification pour accéder aux comptes d’utilisateurs – en utilisant des informations d’identification précédemment violées et que ces utilisateurs avaient recyclées sur 23andMe. Pour les utilisateurs qui avaient choisi le service DNA Relatives sur le site, l'acteur malveillant a alors pu accéder et récupérer bien plus de données provenant de parents potentiels. Parmi les informations répertoriées dans les données figuraient la photo, le profil, le sexe, l’année de naissance, le lieu et les résultats d’ascendance génétique.
7) Attaques DDoS à réinitialisation rapide
Un autre cas inhabituel qui implique une vulnérabilité zero-day dans le protocole HTTP/2, révélé en octobre, a permis aux acteurs malveillants de lancer certaines des plus grandes attaques DDoS jamais vues. Google a déclaré qu’elles avaient atteint un pic de 398 millions de requêtes par seconde (rps), contre un taux précédent de 46 millions de rps. La bonne nouvelle est que les géants de l’Internet comme Google et Cloudflare ont corrigé le bogue. Les entreprises qui gèrent leur propre présence sur Internet ont été invitées à faire immédiatement la même chose.
T-Mobile
Ces dernières années, l'opérateur télécom américain a subi de nombreuses failles de sécurité, mais celle qu'il a révélée en janvier est une des plus importantes à ce jour. Elle a touché 37 millions de clients, dont l’adresse, numéro de téléphone et date de naissance ont été volés par un acteur malveillant. Un deuxième incident révélé en avril n'a touché qu'environ 800 clients, mais comprenait beaucoup d’autres données, notamment les codes PIN des comptes T-Mobile, les numéros de sécurité sociale, les informations d'identification gouvernementales, les dates de naissance et les codes internes que l'entreprise utilise pour gérer les comptes clients.
9) La MGM International et le Cesars
Deux des plus grands noms de Las Vegas ont été touchés à quelques jours d’intervalle par la même filière du ransomware appelé Scattered Spider. Dans le cas de MGM, ils ont accédé au réseau par une simple recherche sur LinkedIn, puis par une attaque de vishing au cours de laquelle ils se sont fait passer pour le service informatique et ont demandé des informations d'identification. L’attaque a eu un impact financier majeur sur l'entreprise. Pendant des jours, elle a été obligée de fermer d’importants systèmes informatiques, perturbant les machines à sous, les systèmes de gestion des restaurants et même les cartes-clés des chambres. L'entreprise a estimé le coût à 100 millions de dollars. Le coût pour Cesars n’est pas clair, même si la société a admis avoir payé 15 millions de dollars de rançon.
10) Les fuites du Pentagone
Le dernier incident est un avertissement pour l’armée américaine et pour toute grande organisation inquiète des initiés malveillants. Jack Teixeira, âgé de 21 ans, membre du renseignement de la Massachusetts Air National Guard, a divulgué des documents militaires très sensibles en s’en est vanté auprès de Discord, sa communauté. Ensuite, ces informations ont été partagées sur d’autres plates-formes et republiées par les Russes qui suivent la guerre en Ukraine. Cela leur a donné un trésor de renseignements militaires concernant cette guerre et a miné les relations des USA avec ses alliés. Teixeira a pu imprimer et emporter chez lui des documents top secrets pour les photographier puis les télécharger.
Espérons que ces histoires seront des leçons utiles pour que 2024 puisse être une année plus sûre.

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/