Avec la polarisation politique, les troubles et l’escalade de la violence dans de nombreuses régions du monde, l’année 2023 a été semée d’incertitudes et de tragédies. En matière de sécurité numérique, cependant, l’année a davantage ressemblé à un jour sans fin d’incidents causés par des types d’attaques classiques, comme le phishing et les ransomwares, plutôt qu’à une montagne russe d’innovations en matière de piratage offensif.
Le travail de cybersécurité se poursuivra sans aucun doute en 2024, mais pour couronner les 12 derniers mois, voici le retour de WIRED sur les pires violations, fuites, attaques de ransomwares, cas d’extorsion numérique et campagnes de piratage parrainées par l’État. Restez vigilant et restez en sécurité là-bas.
L’un des piratages les plus marquants de 2023 n’a pas été un simple incident mais une série de violations dévastatrices, à partir de mai, causées par l’exploitation massive d’une vulnérabilité du logiciel de transfert de fichiers populaire connu sous le nom de MOVEit. Le bug a permis aux pirates de voler des données à partir d’une longue liste d’entités gouvernementales et d’entreprises internationales, notamment le Louisiana Office of Motor Vehicles, Shell, British Airways et le Département de l’Énergie des États-Unis. Progress Software, qui développe MOVEit, corrigé la faille fin mai, et l’adoption généralisée du correctif a finalement stoppé la frénésie. Mais le gang d’extorsion de données « Cl0p » s’était déjà lancé dans une aventure désastreuse, exploitant la vulnérabilité contre autant de victimes que possible. Les organisations continuent de divulguer les incidents liés à MOVEit, et les chercheurs ont déclaré à WIRED que cette série de mises à jour se poursuivrait presque certainement en 2024 et peut-être au-delà.
Basé en Russie, Cl0p a émergé en 2018 et a fonctionné comme un acteur standard du ransomware pendant quelques années. Mais le gang est particulièrement connu pour trouver et exploiter les vulnérabilités de logiciels et équipements largement utilisésMOVEit étant le dernier exemple en date, pour voler des informations à une large population de victimes et mener des campagnes d’extorsion de données à leur encontre.
La plateforme de gestion des identités Okta a révélé une faille dans son système de support client en octobre. L’entreprise dit à l’époque qu’environ 1 pour cent de ses 18 400 clients ont été touchés. Mais l’entreprise a dû réviser son évaluation en novembre pour reconnaître qu’en réalité tous des utilisateurs de son support client se sont vu voler des données lors de la violation.
L’estimation initiale de 1 % provenait de l’enquête menée par l’entreprise sur une activité dans laquelle des attaquants avaient utilisé des identifiants de connexion volés pour s’emparer d’un compte d’assistance Okta disposant d’un accès au système client afin d’aider les utilisateurs à résoudre les problèmes. Mais cette évaluation n’a pas tenu compte d’une autre activité malveillante dans laquelle l’attaquant a exécuté une requête automatisée sur une base de données contenant les noms et adresses e-mail de « tous les utilisateurs du système de support client Okta » et de certains employés d’Okta. Comme pour un certain nombre d’autres incidents survenus cette année, l’importance de l’incident d’Okta vient en partie du fait que l’entreprise joue un rôle essentiel dans la fourniture de services de sécurité à d’autres entreprises. a déjà subi une violation très médiatisée en 2021.
La National Security Agency des États-Unis et ses services de renseignement alliés à travers le monde ont été avertissement depuis mai qu’un groupe parrainé par Pékin, connu sous le nom de Volt Typhoon, a ciblé les réseaux d’infrastructures critiques américains, y compris les réseaux électriques, dans le cadre de son activité. Les responsables ont continué à insister sur le fait que les défenseurs des réseaux doivent être à l’affût des activités suspectes qui pourraient indiquer une opération clandestine. Le piratage de Volt Typhoon, ainsi que celui d’autres pirates informatiques soutenus par Pékin, est alimenté en partie par le stock de vulnérabilités Zero Day du gouvernement chinois, qui peuvent être utilisées et exploitées comme des armes. Pékin collecte ces bugs grâce à la recherche, et certains peuvent également résulter de une loi qui exige la divulgation des vulnérabilités.
Entre-temps, en juin, Microsoft a déclaré qu’un groupe de piratage soutenu par la Chine avait volé une clé cryptographique extrêmement sensible dans les systèmes de l’entreprise, permettant aux attaquants de accéder aux systèmes de messagerie Outlook basés sur le cloud pour 25 organisations, dont plusieurs agences gouvernementales américaines. Dans un autopsie publié en septembre, Microsoft a expliqué qu’un accès inapproprié à la clé était incroyablement improbable, mais s’est produit dans ce cas en raison d’une série d’erreurs unique. Cet incident rappelle cependant que les pirates informatiques soutenus par l’État chinois mènent chaque année un nombre massif d’opérations d’espionnage et se cachent souvent dans les réseaux sans être détectés, attendant le moment opportun pour capitaliser sur toute faille ou erreur.
Les casinos MGM de Las Vegas et d’autres établissements MGM dans le monde ont subi des pannes de système massives et perturbatrices en septembre après une cyberattaque perpétrée par une filiale du groupe. célèbre groupe de ransomware Alphv. L’attaque a semé le chaos chez les voyageurs comme chez les joueurs et a mis des jours, voire des semaines, au groupe hôtelier pour se rétablir, alors que les distributeurs automatiques tombaient en panne, que les cartes d’accès des hôtels ne fonctionnaient plus et que les machines à sous s’éteignaient.
Pendant ce temps, Caesars Entertainment a confirmé aux États-Unis dépôt réglementaire en septembre, elle avait également subi une violation de données de la part d’Alphv, au cours de laquelle de nombreux numéros de sécurité sociale et numéros de permis de conduire des membres de son programme de fidélité avaient été volés, ainsi que d’autres données personnelles. Le journal de Wall Street signalé en septembre, Caesars a payé environ la moitié des 30 millions de dollars exigés par les attaquants en échange de la promesse de ne pas divulguer les données clients volées. MGM n’aurait pas payé la rançon.
En décembre 2022, LastPass, fabricant du populaire gestionnaire de mots de passe, a déclaré qu’une violation survenue en août 2022 qu’il avait divulguée fin novembre 2022 était pire que ce que l’entreprise pensait au départ, et des copies cryptées des coffres-forts de mots de passe de certains utilisateurs avaient été compromises en plus d’autres informations personnelles. Il s’agit d’une révélation profondément inquiétante étant donné que LastPass a subi d’autres incidents de sécurité dans le passé et que les utilisateurs confient à l’entreprise les éléments les plus sensibles de leur vie numérique.
En plus de cela, la société a révélé un deuxième incident en février 2023, qui a également commencé en août 2022. Les attaquants ont compromis l’ordinateur personnel de l’un des ingénieurs principaux de la société, qui avait un accès spécial aux systèmes les plus sensibles de LastPass, et ont volé l’authentification. informations d’identification. Celles-ci, à leur tour, leur ont permis d’accéder à un environnement de stockage cloud Amazon S3 et, finalement, aux « sauvegardes de production LastPass, à d’autres ressources de stockage basées sur le cloud et à certaines sauvegardes de bases de données critiques associées », a déclaré la société. a écrit en mars : une violation dévastatrice pour une société de gestion de mots de passe.
23andMe a révélé début octobre que des attaquants avaient réussi à compromettre certains comptes de ses utilisateurs et à exploiter cet accès pour récupérer les données personnelles d’un plus grand nombre d’utilisateurs via le service de partage social opt-in « DNA Relatives » de l’entreprise. Dans cette première divulgation, la société n’a pas précisé combien d’utilisateurs étaient concernés. Entre-temps, les pirates ont commencé à colporter des données qui semblaient provenir d’un million d’utilisateurs ou plus de 23andMe. Puis, dans une Securities and Exchange Commission des États-Unis dépôt début décembre, la société a déclaré que l’attaquant avait accédé à 0,1 % des comptes d’utilisateurs, soit environ 14 000 par an. estimation de l’entreprise qu’elle compte environ 14 millions de clients. Le dossier déposé auprès de la SEC n’incluait pas un plus grand nombre de personnes touchées par le grattage de DNA Relatives, mais 23andMe finalement confirmé à > que les pirates ont collecté les données de 5,5 millions de personnes qui avaient opté pour DNA Relatives, ainsi que des informations provenant de 1,4 million d’utilisateurs supplémentaires de DNA Relatives qui « ont eu accès aux informations de leur profil d’arbre généalogique ». Certaines des données volées comprenaient des classifications telles que la description de sous-ensembles d’utilisateurs. comme étant des « Juifs ashkénazes », « largement arabes » ou d’origine chinoise, ce qui les expose potentiellement à des ciblage spécifiques.
Bien que troublant, le vol de données n’incluait pas d’informations génétiques brutes et ne serait généralement pas considéré comme le « pire piratage » en soi. Mais cette situation constitue un rappel important des enjeux liés au traitement des informations liées à la génétique et à l’ascendance, ainsi que des conséquences involontaires possibles de l’ajout de mécanismes de partage social aux services sensibles, même lorsque la participation des utilisateurs est volontaire.
L’opérateur de téléphonie mobile T-Mobile a subi un nombre ridicule de violations de données ces dernières années et a désormais la distinction douteuse d’être deux fois lauréat d’une mention honorable dans les résumés annuels des pires hacks de WIRED. Cette année, l’entreprise a révélé deux violations. L’une a débuté en novembre 2022 et s’est terminée en janvier, touchant 37 millions de clients actuels sur les comptes prépayés et post-paiements. Les attaquants ont volé les noms, adresses e-mail, numéros de téléphone, adresses de facturation, dates de naissance, numéros de compte et détails du plan de service des clients. La deuxième violation, survenue entre février et mars et révélée en avril, était mineure et a touché moins de 900 clients. C’est important, cependant, car les données volées comprenaient des noms complets, des dates de naissance, des adresses, des coordonnées, des informations d’identification gouvernementales, des numéros de sécurité sociale et des codes PIN de compte T-Mobile – en d’autres termes, les joyaux de la couronne pour des centaines de personnes.
