Les fuites de données ne vous sont sûrement pas inconnues. Peut-être vous ou votre organisation en avez déjà été victime ?

De nos jours, les vols et fuites de données sont devenus monnaie courante. Vous en entendez parler quotidiennement à la télévision, sur les réseaux sociaux, dans les journaux…

Un problème croissant qui nous concerne tous que l’on soit un particulier, une TPE ou encore une grande multinationale.

Microsoft en a d’ailleurs fait les frais en décembre dernier avec la mise à disposition sur le web de plus de 250 millions de dossiers de leur service client.

Cela dit, il convient de relativiser cette fuite de données. En effet si les données ont bel et bien été exposées sur le web, celles-ci avaient été anonymisées par Microsoft ; les clients concernés par cette fuite n’ont donc pas de cheveux blancs à se faire !

Le seul point critique dans cette affaire serait la fuite d’une partie des adresses emails comme le souligne le magazine en ligne bigdata.fr

« Cependant, certaines des données censées être supprimées n’ont pas été détectées et sont restées visibles. En guise d’exemple, l’entreprise américaine cite les adresses email auxquelles un espace a été ajouté par erreur. De telles adresses n’ont pas été reconnues comme données sensibles par les outils automatiques, et n’ont donc pas été supprimées. »

source : https://www.lebigdata.fr/microsoft-fuite-250-millions-donnees

Ces adresses pourraient être réutilisées par des hackers se faisant passer pour Microsoft en vous demandant des informations confidentielles, de paiement ou essayer de prendre le contrôle de votre ordinateur.  Vous pourriez vous laisser berner par une demande contenant des informations précises et exactes sur des échanges que vous auriez eu avec le service client de Microsoft.

Notre première recommandation à l’égard des personnes concernées sera de faire attention aux emails qu’elles recevraient de la part de Microsoft :

• Assurez-vous bien qu’il s’agisse de Microsoft.
• Faites attention à ce que le lien de l’URL de redirection ne soit pas frauduleux en vous redirigeant vers une page ressemblant trait pour trait à celle de Microsoft mais qui n’en est pas une !
• Si vous souhaitez vous rassurer et vérifier si votre email a été compromis, n’hésitez à faire un tour sur haveibeenpwned.com

Microsoft n’a pour l’instant décelé aucune tentative d’utilisation de ces données à des fins frauduleuses, il convient donc de relativiser cette fuite et de se poser la question sur la relative gravité des fuites de données.

Nous vous proposons à cet effet un baromètre made in Lybero.net sur la fuite de données :

Vous l’aurez compris la gravité d’une fuite de données va dépendre du type d’information concernées et de l’état de ces informations.

Si nous prenons en compte les données de niveau baromètre rouge de paiement, financières ou de santé, celles-ci sont considérées comme particulièrement sensibles. L’usage frauduleux de ces données peut vous causer à vous ou à votre organisation des préjudices particulièrement important et vous coûter très cher.  Il apparaît donc nécessaire d’être vigilant et de mettre en place en plan d’action rapidement dans ce genre de situation.

En ce qui concernent les données de contact (email, adresse …), ce type de fuite est à relativiser. En effet contrairement aux données sensibles, le fait d’avoir accès à ces données ne vous compromet pas immédiatement. Ces informations sont certes personnelles mais en générale publiques. Il vous faudra être vigilant sur l’utilisation qui sera faite de ces données et apprendre à analyser les emails reçus ou les tentatives de contact frauduleux.  Cela démontre aussi à quel point il est primordial de former ses salariés aux cyber risques et ainsi leur apprendre à reconnaître toutes tentatives d’intrusion dans les systèmes d’information ou de phishing.  La gravité de la fuite de données n’est pas tant dans la fuite elle-même mais surtout dans l’utilisation et l’action humaine qui en découle.

Enfin le premier niveau de notre baromètre concernerait des fuites de données anonymisées et chiffrées. Anonymiser et chiffrer des données est le moyen de plus sûr de protéger des données sensibles et stratégiques. Si les données ne sont pas lisibles, elles n’auront donc plus aucune valeur et n’auront plus d’intérêt aux yeux des hackers.  Vos secrets seront donc bien gardés !

Dans le cas de Microsoft, les données qui ont été mises à disposition en clair sur le web avaient majoritairement fait l’objet d’un traitement d’anonymisation au préalable ce qui limite par conséquent leur utilisation malhonnête.

Les solutions Lybero.net utilisent l’art de la cryptographie en associant le chiffrement symétrique AES 256 au chiffrement asymétrique ElGamal 2048 à différents niveaux. Nous assurons de cette manière un chiffrement des données garantissant le plus haut niveau de sécurité.

Vous comprenez donc maintenant l’importance de protéger vos données en amont afin de les rendre illisibles. Chiffrer vos données en utilisant la cryptographie est donc une des meilleures décisions que vous puissiez prendre ; encore faut-il les chiffrer correctement !

 Et si vous doutez encore des pouvoirs de la cryptographie nous vous invitons à lire notre article ici

 En conclusion

• Oui les fuites et vols de données sont devenus réguliers

• Oui même les plus grosses organisations et les entreprises du secteur informatique peuvent être touchées

• Mais non toutes ne sont pas l’affaire du siècle !

Nous vous recommandons tout de même d’être vigilant sur la fuite de données de contact comme les adresses emails qui peuvent engendrer des attaques de phishing de grande ampleur. Ce type d’attaque peut rapidement bloquer votre activité et mettre en péril votre organisation. La simple ouverture d’une pièce jointe peut donner l’accès à votre réseau et infecter l’ensemble de votre système d’information.

 

Nos sources: 

Cyberguerre par numérama: 250 milllions de données de Microsoft ont fuité : quelles conséquences ?

Lebigdata: Microsoft a oublié de sécuriser une base de 250 millions de données

Communiqué de Microsoft