Close

Fuites de données : chronique d’une déstabilisation annoncée ?

Les données constituent la matière première d’une entreprise ou d’une institution. L’altération, la divulgation ou l’accès non autorisé à leurs données constitue donc une menace permanente pour les organisations, publiques et privées. Les fuites de données peuvent en effet avoir des impacts considérables sur l’ensemble d’une entité, du fonctionnement des systèmes d’information aux activités « métiers » de l’organisation. Une étude datant de 2018 du Ponemon Institute[1] sur le coût des violations de données[2] met en évidence l’augmentation significative et le quasi doublement du nombre de violations de grande ampleur (de plus d’un million d’enregistrements). L’étude révèle également que le coût moyen d’une violation de données en France est de 3,54 millions d’euros. L’un des enjeux de la cyber résilience des organisations consiste donc aujourd’hui à limiter les risques de compromission de leurs données.

 

  1. Impacts et conséquences d’une fuite de données

Les conséquences d’une fuite de données peuvent se propager au sein d’une organisation et porter atteinte à ses activités, son fonctionnement, son développement voire sa stratégie à long terme.

Les conséquences peuvent d’abord induire une perte financière directe pour l’entreprise (sanctions financières imposées par la CNIL et le RGPD, coût des potentielles investigations techniques permettant de déterminer l’origine et la cause de la fuite, etc).

Des effets indirects et à long terme peuvent être également préjudiciables pour l’organisation. Par exemple, une fuite d’informations stratégiques (commerciales, relatives à des savoir-faire ou à des nouveaux produits, etc) peut servir un concurrent commercial et entraîner ainsi un manque à gagner pour l’organisation victime du fait de la perte d’un avantage concurrentiel[3]. Dans un deuxième temps, la compromission des données d’une organisation peut ainsi affecter sa réputation. La médiatisation de la fuite de données peut en effet être à l’origine d’une perte de confiance de futurs partenaires commerciaux, fournisseurs ou prestataires, craignant que les conséquences de ces fuites soient dommageables pour leur propre activité. Des bases de données compromises peuvent alors être utilisées comme vecteurs dans des campagnes de dénigrement ou comme outil de chantage voire de guerre commerciale et de déstabilisation[4].

Une fuite de donnée peut également avoir un impact sur la stratégie de l’organisation, sa gouvernance et son efficacité opérationnelle. Par exemple, une violation similaire à celle subie par DCNS (aujourd’hui Naval Group) concernant les capacités de combat des sous-marins Scorpène et médiatisée dans la presse australienne en 2016, est susceptible de retentir sur la gouvernance industrielle et la stratégie géopolitique d’une organisation, en portant atteinte à sa réputation sur la scène internationale, et en nuisant à ses négociations précontractuelles. Le journal The Australian titrait d’ailleurs à l’époque « Si l’ennemi connaît les secrets [du sous-marin], la partie est perdue [5]».

2.Les circuits de la fuite de données

a. A l’origine d’une compromission : le facteur humain

Selon le premier bilan publié par la CNIL depuis l’entrée en vigueur du RGPD[6], l’origine des violations de données proviendrait à 15% d’erreurs humaines internes à l’organisation et à 65% d’actes malveillants d’origine externe, le reste des incidents seraient d’origine indéterminée ou d’actes internes malveillants.

La négligence ou l’imprudence des collaborateurs et des partenaires de l’organisation peut être la cause de fuites de données assez graves. Plusieurs scénarios « classiques » peuvent avoir de lourdes conséquences pour l’organisation touchée.

  • Exemple : Achat de biens à usage personnel sur une plateforme de vente en ligne avec une adresse mail professionnelle.

Les plateformes de vente, trop souvent mal sécurisées, sont susceptibles d’être la cible de cyberattaques qui peuvent permettent à leurs auteurs de récupérer la base de données des clients du site. Celle-ci comporte notamment leurs données d’authentification (« credentials »), dont l’adresse mail utilisée pour effectuer les achats. Il suffit alors aux attaquants d’utiliser le nom de domaine associé pour tenter de se connecter à une plateforme de messagerie professionnelle. Le mot de passe utilisé sur la plateforme de vente étant le plus souvent très similaire à celui utilisé pour leur messagerie professionnelle, les attaquants peuvent parvenir à accéder au compte de messagerie visé en essayant des variantes du mot de passe renseigné sur la plateforme. S’ils parviennent à s’y introduire, ils sont alors en mesure subtiliser des informations stratégiques pour l’entreprise.

 

  • Exemple : Partage d’une publication à contenu professionnel via une plateforme de partage publique type Scribd.

Si la publication est partagée sans évaluation préalable de la criticité des informations publiées, elle peut permettre ainsi à un public non habilité d’accéder à des informations hautement critiques.

Les fuites de données peuvent également avoir pour origine une malveillance interne, ce qui peut être le cas d’un salarié mécontent qui publie volontairement des informations préjudiciables pour l’entreprise ou d’un employé corrompu pour dérober des informations pour le compte d’un tiers.

Des individus extérieurs à l’entreprise peuvent également être à l’origine de la captation d’informations qui ne leur étaient pas destinées. Les objectifs sont divers mais l’intention est toujours malveillante :

  • L’espionnage à des fins économiques, concurrentielles et scientifiques peut-être mené par une organisation concurrente, voire même par un État ;
  • La volonté de nuire à l’organisation ;
  • Des convictions politiques, sociales, religieuses (hacktivisme)[7];
  • L’appât du gain ;
  • Le challenge technique

 

b. Outils et techniques de la captation frauduleuse d’information

Il existe de nombreuses méthodes permettant capter des informations. D’abord simplement par introduction physique dans le système d’information, par une clef USB par exemple ou via l’« information diving » qui consiste à récupérer des données à partir de matériel mis au rebut ou volé.

Au-delà de ces techniques, il est possible, à distance, d’exploiter des failles informatiques pour accéder au contenu d’applications web hébergeant des données. Un phishing ou un typosquatting[8] convaincant sont tout autant de moyens de récupérer des données d’authentification et des données personnelles de victimes et d’infecter à distance un terminal via une pièce jointe contenant un malware. « Bruteforcer » un FTP[9], c’est-à-dire tester des combinaisons de mot de passe afin d’identifier le bon, est une technique qui a fait ses preuves. De même, pirater des objets connectés au système d’information de l’entreprise est une technique courante. Elle s’appuie sur la pratique de l’exploration réseau (dns rebinding), par exemple en utilisant un objet connecté comme une imprimante liée au réseau Wifi de l’organisation, dans lequel l’attaquant glisse une clef USB contenant un malware spécifique qui se propage ensuite au système d’information de l’organisation via le réseau Wifi. Précisons que le simple accès à des données d’authentification d’employés d’une organisation peut permettre une intrusion dans le système d’information de l’entreprise.

Un type d’attaque particulièrement inquiétant est l’advanced persistent threat. Celle-ci, quasiment indétectable et très élaborée, peut durer plusieurs années. Des attaquants utilisent des moyens très avancés pour s’infiltrer dans le système d’information cible et peuvent conserver un accès à distance à celui-ci. Il leur est possible de subtiliser toutes les informations stratégiques souhaitées.

 

c. Exploitation et détournement des données compromises

L’information compromise peut revêtir une valeur commerciale très élevée[10]. Certaines plateformes du Darkweb proposent ainsi des services d’échange, de vente et de captation d’informations stratégiques de toutes natures dont les prix peuvent s’élever à plusieurs centaines de milliers d’euros. Par exemple dans la pratique dite du « insider trading »[11], qui peut être apparentée au délit d’initié défini par le droit français, les informations compromises sont utilisées pour influencer les cours de bourse et réaliser ainsi des gains de façon illicite lors de transactions boursières.

D’autres vendeurs proposent des services de « doxes », c’est-à-dire l’identification de toutes les informations privées concernant un individu ou une entreprise puis leur publication à des fins de nuisance.

Des services de vol d’information sont également proposés sur les marchés noirs.

  • Exemple : Sites du Darkweb spécialisés dans la vente de service de hacking : mise sous surveillance d’un ordinateur, d’un téléphone, recherches d’informations sur une personne, introduction de malware dans des systèmes d’information, etc.

 

 

 De même, des informations « prêtes à l’emploi » sont proposées sur l’ensemble des marchés noir du Darkweb. Elles sont parfois accessibles sur des plateformes publiques de type Pastebin lorsqu’elles ont perdu de leur valeur (données trop anciennes, ou déjà vendues plusieurs fois). Les « credentials » (données d’authentification) sont des produits très couramment proposés à la vente à des prix très bas (l’unité pour quelques centimes). [13] Ils servent pourtant de porte d’entrée à de nombreuses intrusion frauduleuses et, lorsqu’il s’agit d’adresses mail professionnelles, représentent un risque élevé pour les organisations.

 

  • Exemple : Vente de données sur Pastebin

 

  1. Comment faire face à une fuite de données ?

S’il est inutile d’imaginer un système d’information totalement exempt de vulnérabilité, il reste cependant possible de limiter les risques de fuites de données et de mettre en place des solutions de prévention (data loss prevention, DLP[14]) voire de détection. Il faut garder à l’esprit que le coût d’un vol de données est grandement lié au temps de détection et de remédiation aux cas d’intrusions.

Il convient tout d’abord de répertorier les données sensibles puis les référencer, afin de contrôler leur diffusion et leur stockage. L’objectif est d’assurer la disponibilité, la traçabilité, l’intégrité et la confidentialité des données.  

  • Un stockage sécurisé suppose d’une part le chiffrement des matériels et des terminaux (disques, fichiers, dossiers, supports amovibles) mais également des messageries en ligne ; et d’autre part l’utilisation de plateformes d’archivage sécurisées et à vocation probatoire – « coffres-forts numériques ». Il est également judicieux d’interdire la copie, la diffusion, l’impression de certaines données vers certaines destinations.
  • Le contrôle de la diffusion des données peut être facilité par des solutions permettant la traçabilité numérique des données. L’utilisation de la signature numérique permet de garantir l’intégrité du document et l’authentification de l’auteur. L’organisation peut par exemple mettre en place des codes d’accès personnels à chaque utilisateur conditionnant le cycle d’utilisation des documents, permettant d’attribuer à un collaborateur tout accès, tout envoi et toute modification des documents.
  • Des solutions de cybersécurité plus générales permettent de limiter les risques de compromission et de créer un environnement mieux sécurisé (filtres anti-spams, anti-virus, pare-feu, anti-malware, proxies, segmentation du réseau, gestion des privilèges, des identités et des droits d’accès, surveillance du traffic du réseau au niveau applicatif et système de détection d’intrusion, etc).
  • Enfin, former et sensibiliser les collaborateurs aux cybermenaces est crucial, car l’humain reste l’une des premières vulnérabilités (notamment via le phishing et l’ingénierie sociale). La diffusion des bonnes pratiques d’hygiène informatique (surtout l’imposition d’une politique de mots de passe sécurisés et l’interdiction de l’utilisation des adresses mail professionnelles à des fins personnelles). L’organisation doit toutefois savoir adapter sa politique de sécurité aux besoins métiers afin de ne pas rendre la cybersécurité trop contraignante et de faciliter son appropriation par les employés.

 

En complément de solutions permettant de prévenir les fuites de données, il est fortement recommandé de se doter de solutions de Cyber Threat Intelligence. Ceux-ci offrent des services clef en mains de veille et de détection des menaces sur toutes les couches du Web et permettant d’anticiper les attaques en détectant les signaux faibles.

 

 

[1] https://www-03.ibm.com/press/fr/fr/pressrelease/54150.wss

[2] https://www-03.ibm.com/security/fr/fr/data-breach/

[3] https://www.lesechos.fr/idees-debats/cercle/cercle-167557-fuite-de-donnees-un-impact-financier-non-negligeable-2072567.php

[4] https://www.meta-media.fr/2018/03/16/les-fuites-de-donnees-armes-de-destabilisation-massive.html

[5] https://www.agoravox.fr/actualites/international/article/branle-bas-de-combat-a-la-dcns-184008

[6] https://www.cnil.fr/fr/violations-de-donnees-personnelles-1er-bilan-apres-lentree-en-application-du-rgpd

[7]  https://www.zataz.com/data-gouv-fr-pirate-informatique-dxb/  

https://www.zataz.com/site-internet-signalement-gouv-fr-attaque/

[8] Technique d’usurpation de sites web légitimes consistant en le fait de changer des caractères dans l’URL afin de duper les internautes, utilisés pour faire du phishing

[9] Un FTP est un protocole simple qui permet de manipuler des répertoires et des fichiers sur un ordinateur distant

[10] http://www.economiematin.fr/news-internet-vol-donnees-vente-marche-noir

[11] https://www.zdnet.com/article/insider-trading-takes-the-dark-web-by-storm/

[12] https://www.lebigdata.fr/dark-web-donnees-dgsi

[13] https://www.zataz.com/des-bases-de-donnees-didentifiants-de-connexion-de-700-000-francais-en-vente-dans-le-black-market/

[14] Sans atteindre l’exhaustivité, les quelques recommandations ci-dessous permettent de lister quelques axes importants en matière de protection des données.