Cette année, 2023, a été une sacrée année pour les violations de données, un peu comme l’année précédente (et l’année d’avant, etc.). Au cours des 12 derniers mois, nous avons vu des pirates intensifier leur exploitation des bugs dans les outils de transfert de fichiers populaires pour compromettre des milliers d’organisations ; les gangs de ransomwares adoptent de nouvelles tactiques agressives visant à extorquer leurs victimes ; et les attaquants continuent de cibler les organisations sous-financées, telles que les hôpitaux, pour exfiltrer des données hautement sensibles, telles que les informations de santé des patients et les détails de leur assurance.
En fait, selon les données d’octobre du ministère américain de la Santé et des Services sociaux (HHS), les violations des soins de santé ont touché plus de 88 millions de personnes, soit une hausse de 60 % par rapport à l’année dernière. Et cela ne tient même pas compte des deux derniers mois de l’année.
Nous avons rassemblé les violations de données les plus dévastatrices de 2023. En espérant que nous n’aurons pas à mettre à jour cette liste avant la fin de l’année…
Fortra GoAnywhere
Quelques semaines seulement après le début de 2023, des pirates ont exploité une vulnérabilité Zero Day affectant le logiciel de transfert de fichiers géré GoAnywhere de Fortra, permettant le piratage massif de plus de 130 entreprises. Cette vulnérabilité, identifiée comme CVE-2023-0669, était connue sous le nom de Zero Day car elle avait été activement exploitée avant que Fortra n’ait eu le temps de publier un correctif.
Les piratages massifs exploitant cette faille critique d’injection à distance ont été rapidement revendiqués par le célèbre gang de ransomware et d’extorsion Clop, qui a volé les données de plus de 130 organisations victimes. Parmi les personnes concernées figuraient NationBenefits, une entreprise technologique basée en Floride qui offre des avantages supplémentaires à ses plus de 20 millions de membres à travers les États-Unis ; Brightline, un fournisseur virtuel de coaching et de thérapie pour les enfants ; le géant canadien du financement Investissement Québec; Hitachi Energy, basée en Suisse ; et la ville de Toronto, pour n’en nommer que quelques-uns.
Comme l’a révélé TechCrunch en mars, deux mois après la première révélation des piratages massifs, certaines organisations victimes n’ont appris que les données avaient été exfiltrées de leurs systèmes GoAnywhere après avoir chacune reçu une demande de rançon. Fortra, la société qui a développé l’outil GoAnywhere, avait précédemment déclaré à ces organisations que leurs données n’étaient pas affectées par l’incident.
courrier Royal
Janvier a été un mois chargé en cyberattaques, car le géant postal britannique Royal Mail a également confirmé qu’il avait été victime d’une attaque de ransomware.
Cette cyberattaque, confirmée pour la première fois par Royal Mail le 17 janvier, a provoqué des mois de perturbations, laissant le géant postal britannique incapable de traiter ou d’expédier des lettres ou des colis vers des destinations en dehors du Royaume-Uni. L’incident, revendiqué par le gang de ransomware LockBit lié à la Russie, a également entraîné le vol de données sensibles, que le groupe de pirates a publiées sur son site de fuite sur le dark web. Ces données comprenaient des informations techniques, des dossiers sur les ressources humaines et disciplinaires du personnel, des détails sur les salaires et le paiement des heures supplémentaires, et même le dossier de vaccination d’un membre du personnel contre le Covid-19.
L’ampleur de la violation de données reste inconnue.
3CX
Le fabricant de systèmes téléphoniques logiciels 3CX est utilisé par plus de 600 000 organisations dans le monde avec plus de 12 millions d’utilisateurs quotidiens actifs. Mais en mars, l’entreprise a été compromise par des pirates informatiques cherchant à cibler ses clients en aval en implantant des logiciels malveillants dans le logiciel client 3CX alors qu’il était en développement. Cette intrusion a été attribuée à Labyrinth Chollima, une sous-unité du célèbre groupe Lazarus, l’unité de piratage du gouvernement nord-coréen connue pour ses piratages furtifs ciblant les échanges de cryptomonnaies.
À ce jour, on ne sait pas combien de clients 3CX ont été ciblés par cette attaque effrontée de la chaîne d’approvisionnement. Nous savons cependant qu’une autre attaque contre la chaîne d’approvisionnement a provoqué la violation. Selon Mandiant, propriété de Google Cloud, les attaquants ont compromis 3CX au moyen d’une version infectée par un malware du logiciel financier X_Trader trouvée sur l’ordinateur portable d’un employé de 3CX.
Tête
En avril, des pirates informatiques ont compromis le géant britannique de l’externalisation Capita, qui compte parmi ses clients le National Health Service et le ministère britannique du Travail et des Retraites. Les conséquences de ce piratage ont duré des mois, alors que de plus en plus de clients de Capita ont appris que des données sensibles avaient été volées, plusieurs semaines après la première compromission. Le Universities Superannuation Scheme, le plus grand organisme de retraite privé du Royaume-Uni, figurait parmi les personnes concernées, confirmant en mai que les données personnelles de 470 000 membres avaient probablement été consultées.
Ce n’était que le premier incident de cybersécurité à frapper Capita cette année. Peu de temps après l’énorme violation de données de Capita, TechCrunch a appris que le géant de l’externalisation avait laissé des milliers de fichiers, totalisant 655 gigaoctets, exposés sur Internet depuis 2016.
Transfert MOVEit
L’exploitation massive de MOVEit Transfer, un autre outil de transfert de fichiers populaire utilisé par les entreprises pour partager des fichiers en toute sécurité, reste la violation la plus importante et la plus dommageable de 2023. Les retombées de cet incident – qui continue de s’accumuler – ont commencé en mai lorsque Progress Software a révélé une vulnérabilité Zero Day classée critique dans MOVEit Transfer. Cette faille a permis au gang Clop de procéder cette année à une deuxième série de piratages massifs pour voler les données sensibles de milliers de clients de MOVEit Transfer.
Selon les statistiques les plus récentes, la faille MOVEit Transfer a jusqu’à présent fait plus de 2 600 victimes, les pirates ayant accédé aux données personnelles de près de 84 millions de personnes. Cela inclut le ministère des Transports de l’Oregon (3,5 millions de dossiers volés), le ministère de la Politique et du financement des soins de santé du Colorado (quatre millions) et le géant américain des services gouvernementaux Maximus (11 millions).
Microsoft
En septembre, des pirates informatiques soutenus par la Chine ont obtenu une clé de signature de courrier électronique Microsoft hautement sensible, qui leur a permis de pénétrer furtivement dans des dizaines de boîtes de réception de courrier électronique, y compris celles appartenant à plusieurs agences gouvernementales fédérales. Ces pirates, qui, selon Microsoft, appartenaient à un groupe d’espionnage récemment découvert qui suivait Storm-0558, ont exfiltré des données de messagerie non classifiées de ces comptes de messagerie, selon l’agence américaine de cybersécurité CISA.
Dans une analyse post-mortem, Microsoft a déclaré qu’il ne disposait toujours pas de preuves concrètes (et ne souhaitait pas partager) comment ces attaquants s’étaient introduits dans un premier temps, ce qui avait permis aux pirates informatiques de voler sa clé squelette pour accéder aux comptes de messagerie. Le géant de la technologie a depuis fait l’objet d’un examen minutieux pour sa gestion de l’incident, qui est considéré comme la plus grande violation de données gouvernementales non classifiées depuis la campagne d’espionnage russe qui a piraté SolarWinds en 2020.
CitrixBleed
Et puis c’était en octobre, et c’était le signal d’une nouvelle vague de piratages massifs, exploitant cette fois une vulnérabilité critique des systèmes Citrix NetScaler. Les chercheurs en sécurité affirment avoir observé des attaquants exploiter cette faille, désormais connue sous le nom de « CitrixBleed », pour s’introduire dans des organisations du monde entier, notamment dans les domaines de la vente au détail, de la santé et de l’industrie.
Le plein impact de ces piratages massifs continue de se développer. Mais LockBit, le gang de ransomwares responsable des attaques, affirme avoir compromis de grandes entreprises en exploitant cette faille. Le bug CitrixBleed a permis au gang lié à la Russie d’extraire des informations sensibles, telles que les cookies de session, les noms d’utilisateur et les mots de passe, des systèmes Citrix NetScaler concernés, offrant ainsi aux pirates un accès plus approfondi aux réseaux vulnérables. Cela inclut des victimes connues comme le géant de l’aérospatiale Boeing ; le cabinet d’avocats Allen & Overy ; et la Banque industrielle et commerciale de Chine.
23etMoi
En décembre, la société de tests ADN 23andMe a confirmé que des pirates informatiques avaient volé les données d’ascendance de la moitié de ses clients, soit quelque 7 millions de personnes. Cependant, cet aveu est intervenu quelques semaines après qu’il a été révélé pour la première fois en octobre que les données utilisateur et génétiques avaient été saisies après qu’un pirate informatique ait publié une partie du profil volé et des informations ADN des utilisateurs de 23andMe sur un forum de piratage bien connu.
23andMe a initialement déclaré que les pirates avaient accédé aux comptes d’utilisateurs en utilisant des mots de passe d’utilisateurs volés qui avaient déjà été rendus publics à la suite d’autres violations de données, mais a ensuite admis que la violation avait également affecté ceux qui avaient opté pour sa fonctionnalité DNA Relatives, qui associe les utilisateurs à leurs parents génétiques.
Après avoir révélé toute l’étendue de la violation de données, 23andMe a modifié ses conditions de service pour rendre plus difficile pour les victimes de violation de déposer des plaintes contre l’entreprise. Les avocats ont qualifié certains de ces changements de « cyniques » et « égoïstes ». Si la violation a eu une bonne chose, c’est qu’elle a incité d’autres sociétés de tests ADN et génétiques à renforcer la sécurité de leurs comptes utilisateur à la lumière de la violation de données 23andMe.