Depuis le début de la prolifération des données à grande échelle au début des années 2000, il y a eu plus de 4 000 violations de données très médiatisées, et près d'un milliard de données personnelles ont été divulguées ou volées à ce jour.
Les violations de données sont dangereuses non seulement en raison de leur effet sur la vie privée des utilisateurs, mais aussi parce qu'elles peuvent finir par faire la différence entre la vie et la mort d'une entreprise. La perte financière substantielle, ainsi que la perte d'image causée par une violation de données, est un gouffre que peu d'entreprises peuvent franchir avec succès.
Aujourd'hui, examinons les pires violations de données de l'histoire et leurs implications.
Le piratage derrière cette violation de données - l'un des plus insidieux de cette liste - a commencé en 2014, lorsque les serveurs de la marque Starwood actuelle de Marriot ont été compromis. Alors que Starwood était une entité indépendante à l'époque, elle a été acquise par Marriot en 2016 avec ses serveurs d'enregistrement compromis encore non découverts.
Ce piratage était particulièrement troublant en raison de la nature des données volées. Les informations personnelles divulguées de près de 500 millions de clients incluaient les noms, adresses, numéros de carte de crédit, numéros de téléphone, ainsi que des prix plus rares pour les pirates tels que les numéros de passeport, les lieux de voyage et les dates de voyage personnelles des clients.
Marriott International a fini par faire face à un recours collectif et a vu une baisse instantanée de 5,6 % de sa valeur nette à la suite de la violation. Début 2020, il avait versé près de 350 millions de dollars d'indemnisation aux utilisateurs dont les données avaient été exposées.
En 2019, Facebook a souffert de quelques incidents de sécurité ridicules qui ont collectivement exposé la vulnérabilité du plus grand réseau social au monde.
La première partie impliquait une fuite de près de 50 millions d'informations d'identification d'utilisateurs Instagram en ligne. Les données de l'utilisateur, stockées dans un fichier en clair sur un serveur Web accessible par des jetons Web, n'étaient rien d'autre que des choix faciles pour les groupes de pirates informatiques sophistiqués qui ciblent généralement Facebook.
La prochaine violation de données, plus complexe, a vu plus de 540 millions d'enregistrements d'utilisateurs de Facebook exposés publiquement sur le service de cloud computing d'Amazon. Deux sites tiers ("At the Pool" et "Cultura Colectiva") stockaient les informations des utilisateurs liées à leurs comptes Facebook dans des bases de données non protégées sur les serveurs Web d'Amazon.
Cela signifiait qu'une personne essayant d'accéder à la base de données de At the Pool ou de Cultura aurait par inadvertance accès aux données de Facebook via une faille de sécurité. Les bases de données exposées contenaient des numéros de téléphone personnels, des identifiants Facebook et des mots de passe, ainsi que des informations démographiques sensibles telles que le sexe et l'orientation sexuelle.
Parallèlement à une légère baisse des performances boursières de Facebook, les nouvelles des débâcles de violation de données de 2019 ont aggravé l'opinion publique de Facebook et alimenté les enquêtes gouvernementales sur la façon dont l'entreprise gère ses données utilisateur.
Dans cette violation de données causée par une faille d'authentification, près de 885 millions de documents financiers ont été divulgués au total.
En termes simples, First American a stocké les enregistrements sensibles de ses utilisateurs en utilisant des liens Web uniques et difficiles à deviner. Il n'y avait aucune protection par mot de passe ou cryptage des données. Si vous aviez le temps et les ressources nécessaires pour deviner un lien Web, vous pourriez obtenir un accès instantané à un enregistrement sur les serveurs de l'entreprise. Les pirates, en automatisant le processus de génération de ces liens Web, qui suivaient un certain schéma, ont réussi à accéder à presque toutes les informations client de First American.
Cette violation de données est particulièrement tristement célèbre pour la sensibilité des données qu'elle a divulguées. Lors de cette brèche, les pirates ont eu accès à des relevés bancaires, des dossiers hypothécaires et fiscaux, des numéros de sécurité sociale et des images de permis de conduire.
À la suite de la violation de données, l'entreprise a non seulement perdu une bonne partie de sa clientèle, mais a également fait l'objet d'un recours collectif. Actuellement, il fait également l'objet d'une enquête par les régulateurs pour violation des lois qui obligent les banques et autres sociétés de services financiers à mettre en œuvre et à maintenir des protocoles de cybersécurité.
Dernier point mais non le moindre, le titre indésirable mais bien mérité de la pire violation de données au monde revient à cet événement de 2013, en grande partie parce qu'il a réussi à rester non détecté pendant près de trois ans.
En septembre 2016, Yahoo a annoncé que les informations de ses 3 milliards de comptes d'utilisateurs avaient été volées par des pirates informatiques trois ans plus tôt en 2013. L'entreprise n'a pu détecter la violation que lorsqu'elle a vu ses données d'utilisateurs être vendues sur des forums et des marchés de pirates clandestins.
Dans ce qui a été supposé être un piratage soutenu par des groupes de pirates informatiques russes, des données telles que des noms, des adresses e-mail, des numéros de téléphone, des dates de naissance, des mots de passe cryptés et, dans certains cas, même des questions de sécurité ont été volées.
La fuite de ces informations a été désastreuse non seulement parce qu'elle a permis aux pirates d'accéder aux comptes Yahoo, mais aussi parce qu'elle a divulgué les connexions des utilisateurs à leurs banques, profils de médias sociaux, autres services financiers, amis et famille.
Pour aggraver les choses, plus de 150 000 comptes gouvernementaux et militaires des États-Unis ont été parmi les victimes de la violation de données. Malheureusement pour Yahoo, cette nouvelle n'aurait pas pu tomber à un pire moment. Il ne restait que deux jours avant la signature de l'acquisition de Yahoo par Verizon lorsque les détails de la pire violation de données de l'histoire de l'entreprise ont fait la une des journaux.
Non seulement l'événement a jeté un nuage d'incertitude sur l'avenir de l'accord, mais a également contraint Yahoo à apporter des changements organisationnels et structurels drastiques avant de pouvoir se qualifier de digne du marché. Finalement, l'accord a été repoussé de près d'un an et l'incident a fait chuter de près de 350 millions de dollars le prix de vente de Yahoo.
Yahoo a également fait face à 23 poursuites judiciaires très médiatisées et à plusieurs milliers de poursuites plus petites intentées par ses utilisateurs. Il a fini par payer près de 150 millions de dollars en dédommagements et compensations juridiques.
Aussi terrifiants et troublants soient-ils, ces incidents ne sont que la pointe de l'iceberg. Alors que les entreprises responsables de la perte des données des utilisateurs peuvent faire face à des conséquences à court terme, elles peuvent éventuellement se rétablir en regagné la confiance du public et en réparant leurs pertes financières.
L'impact sur les utilisateurs, cependant, pourrait être plus négatif et à long terme. Tant que les données des utilisateurs seront librement disponibles sur les forums et marchés clandestins, les gens continueront d'être la proie du vol d'identité, du vol de banque et même du chantage. Avec le dark web décentralisé, il y aura forcément une abondance de telles plateformes dans un avenir prévisible.
L'ironie d'avoir la commodité d'une expérience en ligne hautement personnalisée est que nos données les plus personnelles et les plus importantes sont souvent à la protection de parfaits inconnus.
La meilleure façon de protéger les données des utilisateurs n'est pas de les confier à une couche sur une couche de cryptage ou de pare-feu, mais de gérer de manière responsable ses propres informations privées, en surveillant et en réglementant les informations que nous révélons, et où nous les révélons.