Tout savoir Data leak

Les données sont aujourd’hui considérées comme une véritable source de richesse. Utilisées autant dans la recherche que dans les stratégies marketing, elles sont aussi précieuses que convoitées. Elles peuvent faire l’objet d’attaques malveillantes, et des brèches de sécurité sont susceptibles de faciliter leur accès. On parle alors de data leak.

Qu’est-ce qu’une data leak ?

Une data leak, ou fuite de données se produit lorsque des informations confidentielles, sensibles ou protégées sont exposées à des individus non autorisés, que ce soit par consultation ou partage, en l’absence d’autorisation. Une perte de données peut survenir sans qu’il y ait eu de cyberattaque.

Généralement, elle résulte de pratiques de sécurité des données inadaptées, ou encore d’actions ou d’inactions accidentelles de la part d’individus. Tous les domaines sont concernés, des organismes gouvernementaux aux laboratoires de recherche en passant par les agences marketing.

Pourquoi existe-t-il des data leaks ?

Les fuites de données peuvent se produire en raison de plusieurs facteurs. L’une des principales causes réside dans les erreurs humaines. Une faille dans un logiciel ou un serveur, ou encore une négligence en matière de mise à jour peuvent aussi permettre d’accéder aux données. La motivation d’un cybercriminel à bénéficier d’une data leak est surtout financière. Les informations sensibles, comme les données personnelles, marketing ou financières, se revendent à prix d’or sur le dark web.

Comment se produisent-elles ?

Les fuites de données ne sont généralement pas dues à une cyberattaque, mais plutôt à un problème interne.

Une mauvaise infrastructure

Une infrastructure mal paramétrée ou non mise à jour peut accidentellement exposer des données sensibles. L’utilisation de paramètres incorrects, d’autorisations inappropriées ou de versions obsolètes de logiciels comporte des risques potentiels. Ces lacunes peuvent être internes à l’entreprise, mais également aux partenaires et fournisseurs.

En 2022, Microsoft a admis une fuite de données survenue par le biais d’un système de stockage en ligne mal configuré. Les données étaient stockées sur un Azure Blob Storage de Microsoft.

Une mauvaise gestion de la data gouvernance

Le simple fait qu’un employé consulte les fichiers d’un collègue sans autorisation est une fuite de données. Même s’il n’y a pas eu partage d’information, celle-ci ne lui était pas destinée.

Une infiltration liée à une cyberescroquerie

Les cybercriminels utilisent souvent une fuite pour ensuite lancer une attaque informatique. Le phishing, par exemple, peut leur permettre d’accéder aux informations d’identification d’un tiers, leur ouvrant plus encore la brèche pour une violation de données à plus grande échelle.

Une politique de mots de passe trop laxiste

Pour simplifier la mémorisation des mots de passe, les individus ont tendance à utiliser le même pour plusieurs comptes. Or une attaque de type credential stuffing peut mettre en péril plusieurs comptes en même temps. Le simple fait de noter ses identifiants de connexion dans un carnet représente déjà un risque.

Des données trop anciennes

À mesure que les entreprises se développent et avec le turn-over des employés, il devient compliqué de suivre les données historiques. Des mises à jour des systèmes et des modifications de l’infrastructure peuvent malencontreusement les exposer.

La multiplication des copies

Les organisations disposent et exploitent une grande quantité de datas sensibles. Il en existe généralement plusieurs copies, contenues dans un serveur, des solutions de stockage, des logiciels d’analyse. Or, plus il existe de copies, plus le risque qu’elles soient exposées accidentellement augmente.

Les objets connectés

Notre dépendance aux appareils connectés au web a explosé ces dernières années. Smartphones, dispositifs IoT (Internet des objets) ou wearables, ces nouvelles technologies émergentes ont souvent des lacunes côté sécurité, ce qui les expose aux risques de fuite de données des utilisateurs. La même problématique se pose avec les équipements de la Smart Home. Absence de chiffrement des données ou mécanismes de protection insuffisants, les vulnérabilités sont significatives.

Une erreur humaine

Dans le contexte de la sécurité, on parle d’employés ou d’utilisateurs qui, par une action involontaire ou leur inaction, conduisent à une brèche. Ce peut être l’envoi par erreur d’un e-mail contenant par exemple un code confidentiel ou un résultat médical à la mauvaise personne. Il peut aussi s’agir d’un contenu partagé par mégarde ou d’erreurs liées à un mauvais paramétrage ou à l’utilisation d’un code open source.

Comment une data leak peut-elle être exploitée ?

Comme nous l’avons mentionné précédemment, une fuite de données peut être exploitée de diverses manières par des individus malveillants.

Vol de données personnelles et financières

Les détails personnels récupérés, comme les numéros de sécurité sociale ou les dates de naissance, peuvent permettre d’usurper une identité. Les cybercriminels peuvent ensuite créer des comptes en ligne frauduleux, solliciter des prêts ou effectuer des transactions illicites. Un numéro de carte de crédit et son code CVV suffisent à réaliser des achats en ligne.

Chantage et préjudice à la réputation

Les criminels peuvent par exemple réclamer à leur victime une rançon en menaçant de révéler des contenus compromettants obtenus grâce à une fuite de données. Ils peuvent également simplement publier l’information pour nuire à l’image d’une personne ou d’une organisation. Le site de rencontres extra-conjugales Ashley Madison a été victime d’un leakage en 2015. Des identifiants aux interactions, tout le contenu du site a été mis en ligne, dont les données de clients célèbres du service.

Opérations d’ingénierie sociale

Les données personnelles volées, et notamment les adresses e-mail, peuvent être exploitées pour envoyer du spam ou des e-mails de phishing. Les numéros de téléphone récupérés peuvent quant à eux être utilisés pour du vishing, des appels téléphoniques de phishing. Ces types de fuites sont relativement fréquentes et touchent notamment les fichiers clients.

Manipulation de l’opinion publique

Les données peuvent également être exploitées pour influencer l’opinion publique, notamment en politique. Par exemple, en 2016, aux États-Unis, un simple test de personnalité publié sur Facebook a permis à la firme Cambridge Analytica de récupérer les données personnelles de 87 millions d’utilisateurs du réseau social. Elle a également pu accéder à celles de l’ensemble de leurs contacts. Elles ont servi à envoyer des messages personnalisés et à influencer les votes en faveur de Donald Trump la même année.

Quelle est la différence entre une fuite de données et une violation des données ?

Nous l’avons vu, une fuite de données est généralement involontaire ou accidentelle. Elle peut se produire en raison d’erreurs humaines ou de mauvaises configurations. La violation de données, ou data breach est liée à un incident où les données sont compromises de manière intentionnelle ou malveillante, par un acteur externe ou interne. On peut citer les cyberattaques, les intrusions dans le système informatique d’une entreprise, le vol de données ou encore le hacking.

Ces termes sont souvent utilisés de manière interchangeable. Il s’agit bien pourtant de deux cas de figure différents, quoique étroitement liés. Un leakage peut en effet être à l’origine d’une violation de données.

Comment prévenir une data leak ?

Les entreprises ont tout intérêt à renforcer la sécurité de leur système informatique, et à identifier et corriger les vulnérabilités existantes. La détection précoce du risque permet de mettre en place rapidement des solutions.

Mettre en place des bonnes pratiques de gouvernance des données

La meilleure solution pour prévenir les data leaks est d’adopter des mesures proactives.

  • Réalisez une évaluation et un audit de sécurité afin de vérifier les mesures et les politiques de sécurisation. Une définition précise de votre politique de gestion des données peut éviter les failles de sécurité. Par exemple, éliminez régulièrement les données obsolètes. Surveillez également les risques liés aux tiers, comme les fournisseurs, les partenaires ou les prestataires.
  • Limitez l’accès aux données de manière à ce que les employés ne disposent que des données strictement nécessaires à leurs activités. Formez vos employés aux bonnes pratiques et à la détection d’anomalies pour préserver la cybersécurité. Mettez en place une gestion adaptée des mots de passe, avec une authentification à plusieurs facteurs pour chaque application ou logiciel par exemple.
  • Optez pour une politique de sécurité zero-trust pour prévenir tout accès non autorisé aux données sensibles, y compris depuis des appareils ou comptes présents sur le serveur ou le cloud de l’entreprise.
  • Pour assurer un niveau de sécurité adapté au risque et se conformer à la loi Informatique et Liberté et au RGPD, vous pouvez vous appuyer sur les recommandations de la CNIL.

Adopter une stratégie de data loss prévention

L’une des autres mesures efficaces pour prévenir un leakage est la mise en place d’une stratégie de data loss prévention (DLP). Cet ensemble de méthodes, d’outils et de processus permet de mieux protéger les informations sensibles. Il existe trois types de systèmes DLP. Ceux basés sur le réseau surveillent le trafic et identifient les tentatives d’accès non autorisés. Les tentatives de téléchargement de fichiers depuis un serveur sont bloquées, tout comme l’envoi de données sensibles par mail.

Les DLP des points de terminaison s’installent aussi bien sur des ordinateurs portables que des ordinateurs de bureau ou encore des appareils mobiles. Ils vont alors surveiller et contrôler tous les transferts de fichiers, les lecteurs USB ainsi que les pièces jointes d’email. Enfin, sur le cloud, les DLP protègent les données stockées et surveillent l’accès aux applications et services.

La protection des données sensibles doit être une priorité. Les data leaks peuvent toucher autant les professionnels que les particuliers, et des solutions de détection et de prévention des brèches doivent être mise en place pour les contenir.