Violation de données

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

La traduction de cet article ou de cette section doit être revue (avril 2019).

Le contenu est difficilement compréhensible vu les erreurs de traduction, qui sont peut-être dues à l'utilisation d'un logiciel de traduction automatique.

Discutez des points à améliorer en page de discussion ou modifiez l'article.

Une violation de données est une brèche de sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données non publiques. Cela peut inclure des incidents allant de la divulgation accidentelle d'informations personnelles à des attaques malveillantes ciblant des bases de données. Dans certains cas, une violation de données peut être qualifiée de fuite de données. Une fuite de données est un cas spécifique de violation de données où il y a divulgation ou accès non autorisé à des données personnelles. Autrement dit, toutes les fuites de données sont des violations de données, mais toutes les violations de données ne sont pas des fuites.

Les fuites de données impliquent souvent des informations financières telles que des numéros de carte de crédit ou des informations bancaires, les renseignements médicaux personnels (DMP), les informations personnelles identifiables (PII), les secrets commerciaux de sociétés ou de la propriété intellectuelle.

De nombreuses États ont adopté des lois sur la notification des données, qui obligent notamment une entreprise victime d'une fuite de données à informer ses clients sur la fuite de leurs informations personnelles.

L’État français a lancé, mardi 30 mai 2017^[1], la plate-forme cybermalveillance.gouv.fr, afin d'aider les particuliers et les entreprises en cas de violation de données. Cette plateforme gouvernementale française offrant un diagnostic personnalisé pour les victimes de cybermalveillance, la mise en relation avec des prestataires spécialisés pour sécuriser les systèmes d'information, des conseils de protection contre les cybermenaces, ainsi que des options pour signaler des escroqueries en ligne et déposer plainte en cas d'incident de cybermalveillance.

Les fuites de données médicales représentent un problème particulièrement sensible et préoccupant. Ces fuites impliquent souvent des informations confidentielles sur l'état de santé des individus, y compris des célébrités^[2], qui peuvent être exposées à des risques accrus en raison de leur notoriété. Lorsque des détails personnels sur la santé d'une personne sont divulgués sans autorisation, cela peut entraîner non seulement une violation de la vie privée, mais aussi potentiellement des conséquences psychologiques et sociales.

Face à la recrudescence des fuites de données médicales et à la méfiance croissante du public, de nombreux pays ont renforcé leur législation en matière de protection des données de santé. Ces lois visent à assurer une meilleure sécurité et confidentialité des informations médicales, notamment celles transmises électroniquement. Elles imposent aux institutions de santé des mesures de sécurité strictes pour prévenir les fuites de données et garantir que les informations des patients restent confidentielles.

En outre, ces réglementations accordent aux patients des droits importants pour gérer leurs informations de santé. Cela inclut le droit de surveiller leurs dossiers médicaux et de recevoir des notifications en cas de perte ou d'acquisition non autorisée de leurs données de santé. Par exemple, aux États-Unis, le Health Insurance Portability and Accountability Act (HIPAA)^[3] et en Union européenne, le RGPD, offrent un cadre réglementaire pour protéger les données de santé des individus.

En France, pour renforcer la protection des données médicales, l'hébergement de ces données est réglementé par la certification des hébergeurs de données de santé (HDS). Cette certification est obligatoire pour les serveurs qui stockent des données de santé. Elle assure que les hébergeurs respectent des normes élevées en matière de sécurité et de confidentialité, comme la protection contre les accès non autorisés, la sauvegarde régulière des données, et la garantie de leur intégrité. En parallèle, la désignation d'un Délégué à la protection des données (DPD ou DPO) est requise pour les structures traitant des données de santé, afin de veiller à la conformité avec le RGPD et d'assurer une gestion rigoureuse de la sécurité des données.

Ces mesures législatives visent à restaurer la confiance du public dans la gestion des données de santé et à assurer que les droits des patients en matière de confidentialité et de sécurité de leurs informations médicales sont respectés et protégés.

Conséquences

Aperçu Général

Les fuites de données peuvent entraîner une gamme variée d'implications, allant de risques mineurs à des conséquences graves. Bien que chaque incident soit unique, certains modèles communs émergent dans l'analyse des répercussions.

Risques et Impacts

Risques de Fraude et de Vol d'Identité

Dans les cas les plus graves, les fuites de données peuvent exposer les individus au vol d'identité et à la fraude. Ces risques sont particulièrement élevés lorsque des informations financières ou des données personnelles identifiables sont divulguées.

Conséquences Matérielles

Parfois, l'intérêt du responsable de la fuite peut se concentrer sur le matériel informatique ou le support de données, plutôt que sur les informations elles-mêmes. Dans de tels cas, les données peuvent ne pas être exploitées, mais leur exposition reste problématique^[4].

Impacts Organisationnels

Perte de Confiance et Réputation

Les organisations touchées par des fuites de données peuvent subir une érosion de la confiance de la part de leurs clients et partenaires. Cela peut se traduire par une perte de clientèle et une image de marque endommagée.

Coûts Financiers

Les coûts associés à la gestion d'une fuite de données et à la prévention de futures incidents peuvent être substantiels. Cela inclut les dépenses en matière de sécurité informatique, les indemnisations légales, et les amendes potentielles en cas de non-conformité réglementaire^[5].

Cadre Légal et Réglementaire

Dans l'Union européenne, les entreprises doivent se conformer à des réglementations strictes en matière de protection des données, comme le règlement général sur la protection des données (RGPD), qui imposent des mesures de sécurité rigoureuses pour prévenir les fuites de données. Le Délégué à la protection des données (DPO) assure la conformité aux normes de protection des données, et son rapport évalue cette conformité^[6], aidant ainsi à éviter de lourdes sanctions pour les entreprises. En cas de non-respect de ces normes, les entreprises s'exposent à des sanctions sévères, y compris des amendes pouvant atteindre des montants considérables.

Fuite de données majeures

2005

Ameriprise Financial, vol de portable, le 24 décembre, de 260 000 dossiers clients^[7].
ChoicePoint, en février, de 163 000 dossiers des consommateurs^[8].
Publication des noms de 276 agents du MI6^[9]^,^[10]^,^[11].

2006

AOL, importante fuite (parfois appelé un "Data Valdez"^[12]^,^[13]^,^[14], en raison de sa taille).
Le ministère des anciens combattants, 28 600 000 anciens combattants, réservistes, et personnel militaire en service actif^[15].
Ernst & Young, mai, 234 000 clients de Hotels.com (après une fuite de données similaire concernant 38 000 employés des clients de Ernst & Young en février).
Boeing, en décembre, de 382 000 collaborateurs (après des pertes de données concernant 3 600 employés en avril et 161 000 salariés, en novembre 2005).

2007

D. A. Davidson & Co., 192 000 noms des clients, comptes client, numéros de sécurité sociale, adresses et dates de naissance^[16].
Fuite de données administratives de l'Ohio et du Connecticut en 2007 par Accenture.
TJ Maxx, données relatives à 45 millions de comptes de débit et de crédit.
CGI, août, 283 000 retraités de la Ville de New York.
Gap, en septembre, de 800 000 candidats.
Memorial Blood Center, en décembre, de 268 000 donneurs de sang.
Commission Électorale du comté de Davidson, en décembre, 337 000 électeurs.

2008

En janvier 2008, GE Money, une division de General Electric, a révélé qu'une bande magnétique contenant 150 000 numéros de sécurité sociale avait disparu d'une installation de stockage. J. C. Penney fait partie des 230 détaillants touchés^[17].
Horizon Blue Cross et Blue Shield of New Jersey, janvier, 300 000 membres.
En février, 321 000 donneurs de sang.
Parti National britannique, la liste des membres^[18].
Au début de l'année, Countrywide Financial (depuis rachetée par Bank of America), aurait été victime d'une fuite de données personnelles, l'employé Rene L. Rebollo Jr ayant volé et vendu jusqu'à 2,5 millions de données personnelles, comprenant des numéros de sécurité sociale^[19]^,^[20]^,^[21]. En juillet 2010, Bank of America règle plus de 30 recours collectifs en proposant la gratuité de surveillance des comptes, une assurance contre le vol d'identité et le remboursement des pertes pour les 17 millions de consommateurs touchés par la fuite de données. Le règlement a été estimé à 56,5 millions de dollars, frais de justice non compris^[22].

2009

En décembre 2009, le site RockYou! se fait voler sa base de données contenant 32 millions de noms d'utilisateurs et mots de passe en clair, ce qui compromet encore davantage l'utilisation de mots de passe faibles pour n'importe quel but.
En mai 2009, le scandale des dépenses du Parlement du Royaume-Uni a été révélé par Le Daily Telegraph. Un disque dur contenant des factures numérisées des membres du Parlement et les Pairs de la Chambre des Lords a été offert à des journaux britanniques à la fin d'avril, avec Le Daily Telegraph, enfin de l'acquérir. Ils ont publié les détails dans les versements à partir du 8 mai. Bien qu'il ait été l'intention du législateur que les données ont été publiés, ce devait être rédigé dans la forme, avec les détails de chacun de ses membres considérés comme "sensibles" masquée. Le résultat de la tempête médiatique a conduit à la démission du président de la Chambre des Communes et sur l'emprisonnement de plusieurs Députés et Lords pour fraude. Les dépenses a été remanié et renforcé, étant mis davantage sur un pied d'égalité avec le secteur privé les régimes. Le Metropolitan Police Service continue d'enquêter sur de possibles fraudes, et le Crown Prosecution Service envisage d'autres poursuites. Plusieurs Députés et Lords ont présenté des excuses.
En janvier 2009, Heartland payment Systems a annoncé qu'il avait été "victime d'une fuite de la sécurité au sein de son système de traitement"^[23]. L'intrusion a été qualifié de la plus grande fuite criminel de la fuite de données de la carte, avec des estimations allant jusqu'à 100 millions de cartes de plus de 650 sociétés de services financiers compromis^[24].

2010

Tout au long de l'année, Chelsea Manning (alors connue sous le nom de Bradley Manning) a rendu public un grand nombre de données militaires secrètes, notamment :
- Juillet : Rapports de missions militaires, lors du conflit en Afghanistan, connus sous le nom de Afghan War Diary
- Octobre : Rapports de missions militaires, lors du conflit en Irak (voir Iraq War documents leak (en))
- Novembre : Télégrammes de la diplomatie américaine,

2011

En février 2011, la société HBGary (en) voit sa messagerie exposée^[25], révélant le fait que la société cherchait à déterminer l'identité de membres du collectif Anonymous pour le compte de la Bank of America^[26].
En avril 2011, Sony a subi un piratage de sa base de données à l'intérieur du PlayStation Network. On estime que les informations de 77 millions d'utilisateurs ont été compromises.
En juin 2011, Citigroup a révélé une fuite de base de données dans le cadre de leurs opérations de carte de crédit, affectant environ 210 000 ou 1% des comptes de leurs clients^[27].

2012

En février 2012, des emails de la société d'analyse géopolitique Stratfor sont exposés par Wikileaks sous le nom de "Global Intelligence Files"^[28].
En octobre 2012, Il a été rapporté que l'on estime que 3,6 millions de numéros de Sécurité Sociale américaine ont été compromis avec 387,000 relevés de carte de crédit^[29].

2013

En octobre 2013, Adobe Systems a révélé que leur base de données d'entreprise a été piraté et quelque 130 millions d'utilisateurs ont été volées. Selon Adobe, "depuis plus d'un an, le système d'authentification a été cryptographiquement hacké à l'aide de l'algorithme SHA-256. Le système d'authentification impliqués dans l'attaque était un système de sauvegarde et a été désigné pour être mis hors service. Le système impliqué dans l'attaque utilisées Triple DES pour protéger toutes les informations comme les mots de passe stockés^[30]."
Décembre 2013, Target Corporation a annoncé que les données de près de 70 millions de dollars de crédit et de débit cartes ont été volés. Il est le deuxième plus grand groupe collectant les crédits et les débits de carte la TJX. Cette même entreprise a été victime elle aussi d'une fuite de données avec près de 46 millions de cartes touchés^[31].
En 2013, Edward Snowden a publié une série de documents secrets qui ont révélé largement l'espionnage pratiqué par les États-Unis avec l'Agence Nationale de la Sécurité et des organismes similaires dans d'autres pays.

2014

En août 2014, près de 200 photos de célébrités ont été affichés sur le site web 4chan. Une enquête menée par Apple a trouvé que les images ont été obtenues "par une attaque très ciblée sur les noms d'utilisateur, mots de passe et questions de sécurité"^[32].
En septembre 2014, Home Depot a subi une fuite de données contre 56 millions de numéros de carte de crédit^[33].
En octobre 2014, Staples a subi une fuite de données contre 1,16 million de clients de cartes de paiement^[34].
En novembre 2014 Sony Pictures Entertainment a subi une attaque impliquant des renseignements personnels à propos de Sony Pictures contre leurs employés et de leurs familles, avec des e-mails entre les employés, des informations sur les salaires des cadres à l'entreprise, des copies de films inédit produit par Sony, et d'autres informations. Les pirates impliqués affirment avoir pris plus de 100 téraoctets de données à Sony^[35].
L'hébergeur annonce le 24 novembre 2017, avoir découvert la veille, l’existence d’une importante faille de sécurité, touchant potentiellement les comptes de ses utilisateurs. Ce sont les comptes de 1,7 million d’utilisateurs d'imgur qui ont été touchés par un vol de données personnelles produit en 2014^[36].

2015

En février 2015, Hymne a subi une fuite de données de près de 80 millions de disques, y compris des informations personnelles telles que les noms, numéros de Sécurité Sociale, date de naissance, et autres informations sensibles^[37].
En juin 2015, Le Bureau de Gestion du Personnel du gouvernement US a subi une de données dans lequel les enregistrements de 22,1 millions de dollars actuels et d'anciens employés du gouvernement fédéral des États-unis ont été piraté ou volé^[38].
En juillet 2015, le site pour adulte Ashley Madison a subi une de données lorsqu'un groupe de pirates informatiques ont volé des informations sur ses 37 millions d'utilisateurs. Les pirates ont menacé de révéler les noms d'utilisateur et les détails de leur recherche^[39].
En octobre 2015, la British Telecommunications fournisseur de TalkTalk a subi une fuite de données lorsqu'un groupe de pirates ont volé des informations sur ses 4 millions de clients. Le prix des actions de la société a diminué considérablement autour de 12% – en grande partie en raison de la mauvaise publicité entourant la fuite^[40].

2016

En mars 2016, le site web de la Commission électorale aux Philippines a été profané par des hacktivistes : "Anonyme Philippines"^[41].
En avril 2016, les médias dévoilent et assument avoir permis le vol des données du cabinet d'avocats, Mossack Fonseca, avec les “Panama Papers”^[42]. Le Premier Ministre de l'Islande a été contraint de démissionner^[43] et un important remaniement de bureaux politiques survenus dans des pays aussi lointains que Malte^[44]. Plusieurs enquêtes ont été immédiatement entreprises dans des pays à travers le monde^[45]^,^[46].
En septembre 2016, Yahoo a indiqué que jusqu'à 500 millions de comptes en 2014 ont été volés. Il a été rapporté plus tard en octobre 2017 que 3 milliards de comptes ont été volés.

2017

Equifax, en juillet 2017, 145,500,000 de dossiers de consommateurs, ont connu une fuite de données^[47]^,^[48]. Au début d'octobre 2017, les villes de Chicago et de San Francisco et le Commonwealth du Massachusetts ont déposé des sanctions contre les Equifax la suite de la fuite de données, dans lequel les pirates auraient exploité une vulnérabilité dans le logiciel open source utilisé pour créer en ligne des litiges de consommation^[49].
États-unis-Corée du Sud déclarent une fuite de documents militaires en octobre 2017 par des pirates nord-coréens de plus de 235 gigaoctets à partir du centre de données en septembre 2016. Des documents divulgués, y compris sur la Corée du Sud-États-Unis en temps de guerre sur le plan opérationnel^[50].
Paradise Papiers, en Novembre 2017.

2018

Fuite de données Facebook-Cambridge Analytica en mars^[51].
Le 29 mars, Under Armour a révélé une fuite de données de 150 millions de comptes à MyFitnessPal, avec les données compromises composé de noms d'utilisateur, adresses e-mail et mots de passe^[52].
Il a été signalé le 1^er avril qu'une fuite de données s'est produite à Saks Fifth Avenue / Lord & Taylor. Environ 5 millions de détenteurs de carte de crédit ont pu avoir leurs données compromise dans les magasins en Amérique du Nord^[53].

2019

En janvier 2019, un chercheur en cybersécurité découvre une base de données MongoDB exposée sur le web. Cette database regroupait 202 730 434 enregistrements sur des demandeurs d’emploi chinois. Les données personnelles comprennent, les compétences et l’expérience professionnelle, des numéros de téléphone, des adresses email, le statut marital, l'orientation politique^{[réf. nécessaire]}...
À la suite de la fuite de données de 533 millions de comptes Facebook découverte en 2019, le régulateur irlandais ouvre, en 2021, une enquête qui visera à déterminer si Facebook a failli à ses obligations et au droit européen n'ayant pas en particulier prévenu les titulaires des comptes piratés dont les données ont été diffusées sur Internet^[54].

2020

Début 2020, une violation de données de l'entreprise américaine Clearview AI de reconnaissance faciale révèle que de nombreuses organisations commerciales^[55] — telles que Walmart, Macy's ou la National Basketball Association — figurent sur la liste ses clients en contradiction avec son positionnement commercial officiel. Le logiciel est utilisé par des bureaux de police, et également par des sociétés privées, des universités et des particuliers^[56]^,^[57]^,^[58]. Les données de l'entreprise révèlent aussi que Clearview AI a démarché plus de 27 pays ailleurs dans le monde pour mettre à disposition son logiciel, parmi lesquels l'Australie, le Brésil, l'Inde, la Norvège, le Royaume-Uni, la Serbie, la Suisse, et une partie importante des états membres de l'Union européenne^{[Note 1]}^,^[58]^,^[59].
En 2020, les données personnelles de 1,4 million de personnes ont été volées après un piratage informatique de l’Assistance publique – Hôpitaux de Paris (AP-HP). Ces données sont celles de patients qui avaient fait un dépistage de la Covid-19 . Ses données « incluent l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé »^[60].

2021

En janvier 2021, une fuite de données découverte sur une base de données hébergée en accès libre par une société chinoise SocialArks à compromis 215 millions de comptes Facebook, Instagram et LinkedIn dont 810 000 en France^[61].

En février 2021, les informations confidentielles de 500 000 patients français sont dérobées à des laboratoires de biologie médicales et diffusées en ligne^[62]. La base de données est rendu disponible gratuitement sur le dark web. Cette fuite est à l'origine d'une amende record de 1,5 million d'euros à la société Dedalus pour "manquement de sécurité ayant amené à une fuite de donnée", infligée en avril 2022^[63].

2022

En juillet 2022, une fuite de données de Twitter a été exposée avec la vente de données de 5,4 millions d'utilisateurs par un acteur nommé "Devil", exploitant une faille de sécurité découverte le 1er janvier 2022. Plus tard, des informations sur environ 211,5 millions d'utilisateurs ont été divulguées, indiquant l'une des plus grandes violations de données de l'entreprise^[64].

v · m Fuite d'information ou de données personnelles
Crimes et délits financiers	Bahamas Leaks CumEx Files Football Leaks FinCEN Files Implant Files Luxembourg Leaks Malta Files Mauritius Leaks Offshore Leaks OpenLux Panama Papers (personnes citées) Pandora Papers (personnes citées (en)) Paradise Papers (personnes citées) Suisse secrets SwissLeaks
Autres fuites	BlueLeaks Fuite des photos de personnalités d'août 2014 MacronLeaks Uber Files
Contre-mesures	Piège à canaris Honeypot