Il est assez courant de nos jours d'entendre parler d'une nouvelle violation de données. Cependant, une violation de données peut prendre de nombreuses formes différentes. Il existe même des violations qui n’entraînent aucune violation de données. Le cœur d'une violation de données est que certaines données destinées à rester privées sont rendues publiques.
Comment se produit une violation de données ?
Les violations de données peuvent se produire de différentes manières. L'hypothèse standard est qu'un attaquant a réussi à accéder à un système privé et à télécharger les données. L'entrée serait généralement acquise par le pirate exploitant une vulnérabilité. Certains de ces exploits sont des exploits "zero-day" entièrement nouveaux pour lesquels la victime a très peu de chances de réussir à se prémunir. Cependant, de nombreuses violations de données sont le résultat de vulnérabilités précédemment connues exploitées dans des systèmes qui n'ont pas été mis à jour.
Conseil: Un "zero-day" est un exploit activement utilisé dans la nature qui était auparavant inconnu. En règle générale, un correctif pour un jour zéro n'est pas immédiatement disponible et doit être développé avant d'être distribué et installé sur les systèmes concernés. Dans certains cas, par exemple, une atténuation peut être disponible pour désactiver le composant vulnérable. Pourtant, les serveurs peuvent avoir besoin de se mettre hors ligne par rapport à. être incapable de se défendre contre une attaque connue.
Étant donné que la vulnérabilité n'est pas connue avant d'être activement exploitée, il est difficile de se défendre contre les jours zéro. La défense en profondeur est généralement le meilleur plan. Autrement dit, avoir de nombreuses couches de défense, ce qui signifie qu'il est peu probable qu'un seul problème entraîne une véritable violation de données.
Le phishing est une autre cause fréquente de violation de données. Les attaquants tentent d'inciter les utilisateurs légitimes à divulguer leurs informations d'identification pour accéder au système avec l'autorisation de leur victime. Les comptes et les utilisateurs disposant d'autorisations administratives sont souvent ciblés car ils ont tendance à avoir un accès plus étendu à des données plus sensibles.
Menaces internes et incompétence
Les menaces internes sont un point de risque sous-estimé. Un employé mécontent peut utiliser son accès légitime pour causer de gros dégâts. Cette attaque exploite le fait que l'utilisateur connaît le système et y a un accès équitable, ce qui les rend difficiles à détecter et à prévenir.
L'incompétence peut également être une cause de violation de données. Il existe plusieurs exemples de violations de données résultant d'une entreprise rendant publique une base de données de sauvegarde sans s'en rendre compte. Dans ce cas, le terme violation est presque difficile à justifier car c'est l'entreprise elle-même qui a divulgué les données, et non un pirate informatique. Il convient de noter que légalement, l'accès non autorisé à un système informatique est un crime.
Cela peut même compter si les données ont été rendues publiques accidentellement en autorisant l'accès ouvert à un système. Vous ne pourriez probablement pas être condamné pour avoir simplement accédé à un site public. Vous seriez probablement condamné si vous essayiez de télécharger et de vendre ces données sur un forum du dark web.
Quel type de données est piraté ?
Le type de données piratée dépend des données dont dispose l'organisation piratée et de la motivation des attaquants. Cela dépend aussi de votre définition de ce qui est violé. Certains pirates recherchent des données qu'ils peuvent vendre. Ils essaient d'accéder aux données des utilisateurs, en particulier les noms d'utilisateur et les hachages de mot de passe, ainsi qu'à d'autres PII et détails de paiement. Ce type d'attaque a généralement l'impact le plus important sur les personnes, car leurs données et leur confidentialité sont affectées.
Certains pirates ont une cause et ciblent souvent des données qui détaillent les méfaits, perçus ou non. D'autres visent à voler des données propriétaires ou secrètes. Cela tend à être le domaine des États-nations et de l'espionnage industriel. La plupart des violations affectent autant de données auxquelles on peut accéder sur la théorie qu'elles auront de la valeur pour quelqu'un ou peuvent être publiées comme preuve de légitimité.
D'autres violations peuvent ne jamais entraîner de véritables violations de données. Un pirate peut accéder à un système et être identifié et arrêté avant qu'il ne puisse causer de réels dommages. Cela reviendrait à attraper un voleur dans le monde réel alors qu'il est en train de s'introduire par effraction. Techniquement, il y a eu une faille de sécurité, mais aucune donnée n'a été perdue ou exfiltrée.
La situation juridique
Dans la plupart des endroits, les lois qui couvrent la criminalité informatique répertorient « l'accès ou l'utilisation non autorisés » d'un système informatique comme un crime. Des choses comme accéder à un ordinateur sans autorisation sont techniquement un crime. Cela signifie également que l'accès à un système auquel vous n'êtes pas censé accéder, même si vous avez l'autorisation d'accéder à d'autres systèmes, est un crime. Cela signifie que toute violation implique une activité criminelle.
Même dans les cas où la violation est considérée comme dans l'intérêt public, le bailleur peut faire face à une responsabilité pénale. Dans certains cas, cela complique les dossiers des dénonciateurs. Souvent, les lanceurs d'alerte sont protégés par la loi, car il est dans l'intérêt public que les injustices soient révélées. Mais dans certains cas, la collecte des preuves nécessite d'accéder à des choses sans autorisation. Cela implique également le partage de données sans autorisation. Cela peut amener les dénonciateurs à essayer de rester anonymes ou à demander l'amnistie pour révéler leur identité.
De plus, déterminer ce qui est dans l'intérêt public est notoirement difficile. De nombreux hacktivistes jugeraient leurs actions dans l'intérêt public. La plupart des personnes dont les données sont publiées dans le cadre de cette action seraient en désaccord.
Conclusion
Une violation fait généralement référence à une violation de données où certaines données qui devaient être privées sont rendues publiques. Cependant, le terme « violation » peut faire référence à une violation de la sécurité dans laquelle un incident s'est produit, mais aucune donnée n'a été volée. Les données ciblées ont souvent de la valeur pour les pirates. Il peut s'agir de données personnelles susceptibles d'être vendues, de secrets d'entreprise ou nationaux, ou de preuves d'actes répréhensibles perçus. Les violations de données permettent généralement d'accéder à autant de données que possible, en supposant que toutes les données ont une certaine valeur.