6 violations massives de données gouvernementales

[ware_item id=33][/ware_item]

Une illustration d'un dossier de données avec un robinet qui fuit (robinet pour les Américains).


Nous entendons constamment parler de violations de données ces derniers temps - et ce n'est pas étonnant, étant donné que 5 milliards de documents personnels ont été exposés l'année dernière..

Bien que la majorité des gros titres sur la cybersécurité se concentrent sur des entreprises confrontées aux consommateurs telles que Facebook et Equifax, le fait est que les documents gouvernementaux sont également menacés.

Certains pourraient même affirmer que les informations de nos gouvernements sur nous présentent un risque d'exposition plus élevé en raison d'un manque d'incitation à les protéger: les gouvernements n'ont pas à faire face aux crises de marque, aux retombées des relations publiques, à la fidélisation des clients ou à l'intensification de la concurrence. d'une violation de la cybersécurité accablante et évitable. Et leurs clients ne peuvent pas simplement emballer et déménager ailleurs.

Néanmoins, certaines administrations réagissent à la menace que représentent les criminels en ligne. Le budget américain de la cybersécurité, par exemple, a augmenté d'environ 580 millions USD en 2019 pour s'établir à 15 milliards USD..

Alors, comment en sommes-nous arrivés là? Examinons de plus près les six plus grandes fuites de données du gouvernement.

1. Bureau américain de gestion du personnel

Cette violation de données critique a touché près de 22 millions d'employés fédéraux aux États-Unis..

Le hack, détecté au début de 2015, a été principalement imputé à des pirates informatiques parrainés par l'État en Chine et a divulgué des millions de formulaires SF-86.

Ces formulaires contiennent des renseignements personnels extrêmement sensibles sur les employés fédéraux existants ainsi que ceux qui demandent des autorisations de sécurité du gouvernement. Des informations glanées lors de vérifications approfondies des antécédents - adresses, numéros de sécurité sociale, visites à l'étranger et même des informations sur la famille - ont été siphonnées.

Pour aggraver les choses, le malware est resté sur les ordinateurs affectés pendant deux ans avant d'être découvert. Une enquête du Congrès a suivi, ainsi que la démission de hauts responsables de l'OPM.

Selon certaines estimations, le coût de cette attaque pour le gouvernement américain pourrait atteindre 1 milliard USD.

2. Aadhar en Inde

Aadhar, la base de données nationale d'identité du gouvernement indien, a été frappée par une énorme violation de données en 2018 qui a potentiellement affecté plus d'un milliard de dossiers personnels.

L'inscription dans la base de données est obligatoire pour tous les résidents indiens qui envisagent d'ouvrir un compte bancaire, d'acheter un abonnement cellulaire ou de s'inscrire à des services publics comme l'eau et l'électricité.

La brèche a été découverte par Karan Saini, un chercheur en sécurité basé dans la capitale indienne New Delhi, et était le résultat de failles de sécurité dans une société de services publics appartenant à l'État. La violation d'Aadhar a révélé les noms des personnes enregistrées dans la base de données, leurs coordonnées bancaires et d'autres informations personnelles.

Le gouvernement indien a déclaré que les informations diffusées par les médias sur la violation de données étaient des «fausses nouvelles».

3. Agence suédoise des transports

Une violation de données généralisée en Suède est survenue après un accord d'externalisation bâclé avec IBM.

La fuite à l'Agence suédoise des transports a révélé des données critiques telles que les détails de tous les véhicules du gouvernement et de l'armée, des informations sur les pilotes de l'armée de l'air du pays, les fonctionnaires de police, les membres des unités de combat d'élite de l'armée et tous ceux qui ont participé au programme suédois de protection des témoins..

À blâmer étaient des mesures laxistes mises en place par l'ancien chef de l'agence, y compris la levée des exigences d'habilitation de sécurité pour les travailleurs informatiques étrangers. Une enquête ultérieure a déclaré que cette pratique violait les lois suédoises sur la vie privée et la protection des données, entraînant une amende pour le fonctionnaire. Elle a reçu l'une des sanctions les plus sévères jamais infligées au personnel du gouvernement suédois: un demi-mois de salaire.

4. Installations nucléaires iraniennes

En 2009, des installations d'enrichissement d'uranium en Iran ont été ciblées par un ver hautement sophistiqué, comme on n'en avait jamais vu auparavant.

Appelé Stuxnet, ce morceau de code malveillant a pu détruire environ un millier de centrifugeuses à uranium en les faisant tourner au-delà des limites recommandées. Il a laissé les opérateurs stupéfaits et ignorant la source du problème, déroutant même Siemens, le fabricant de la machine en question..

Bien qu'il ne s'agisse techniquement pas d'une violation de données, Stuxnet fait la liste pour sa nature complexe et ses implications terrifiantes dans le monde réel. De plus, il a engendré de nombreux logiciels malveillants de copie, appelés «fils de Stuxnet».

L'un d'eux, Duqu, a été programmé pour exploiter les données des installations industrielles afin de les utiliser lors d'attaques ultérieures. Un autre, Flame, a enregistré des conversations privées sur Skype et espionné des organisations gouvernementales dans les pays du Moyen-Orient.

On peut affirmer que Stuxnet a propulsé des cybercriminels et des pirates pour compte visant à endommager des installations gouvernementales vitales pour un gain de données personnelles ou un pandémonium généralisé. Nous n'avons certainement pas vu le dernier de ces.

5. Bases de données des électeurs américains

Les informations personnelles de 191 millions d'électeurs américains ont été révélées en 2015 après qu'une configuration incorrecte les a laissées à la merci d'Internet ouvert.

Découverte pour la première fois par le chercheur indépendant Chris Vickery, la violation de données comprenait des détails spécifiques tels que les noms, les dates de naissance, les numéros de téléphone et les adresses e-mail des électeurs aux États-Unis..

Deux ans après cet incident, un autre manquement à la sécurité a révélé des informations sur 198 millions d'Américains⁠ - censés être tous les électeurs américains enregistrés depuis une décennie.

Les enregistrements non répertoriés contiennent des informations personnelles telles que les adresses personnelles et les numéros de téléphone, ainsi que des informations de profilage plus détaillées telles que l'origine ethnique, la religion et les tendances politiques..

6. Service fédéral de sécurité de la Russie

La plus grande violation de données du gouvernement en Russie a eu lieu il y a quelques jours à peine. Les pirates ont réussi à infiltrer avec succès le FSB - le Service fédéral de sécurité de la Russie, semblable au FBI et au MI5.

Le casse, attribué au groupe de piratage 0v1ru $, visait un entrepreneur du FSB et a réussi à siphonner plus de 7,5 téraoctets de données. Les données ont ensuite été rapidement partagées avec les principaux médias.

Certains des projets secrets mentionnés dans les données volées étaient des initiatives du FSB pour découvrir l'identité des utilisateurs de Tor, le raclage de masse des profils de médias sociaux et la préparation pour aider le gouvernement russe à couper son Internet du reste du monde..

L'entrepreneur en question, SyTech, a reçu 40 millions de roubles dans des projets publics en 2018, selon la BBC, et sert également l'opérateur national de communications par satellite JST RT Komm.ru ainsi que la Cour suprême de Russie. Il est difficile de savoir si les données volées étaient spécifiques au travail de SyTech avec le FSB seul ou impliquaient également d'autres entités étatiques.

Bien que le FSB présente des similitudes avec le FBI et le M15, il ne se limite pas à la surveillance nationale et à la collecte de renseignements. Ses fonctions s'étendent au-delà des frontières russes pour inclure la surveillance électronique à l'étranger et d'autres tentatives d'espionnage mondial. Connu comme le successeur du tristement célèbre KGB, le FSB relève directement du président russe.

Protégez vos données

Utilisez toujours un mot de passe unique fort et un VPN.

6 violations massives de données gouvernementales
admin Author
Sorry! The Author has not filled his profile.