•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

2018, l’annus horribilis de la cybersécurité

Gros plan sur un écran noir montrant des zéros et des uns verts et une tête de mort rouge au centre.

Des centaines de millions de comptes contenant des informations privées ont été piratés en 2018.

Photo : iStock / Hailshadow

Radio-Canada

Les failles de sécurité Spectre et Meltdown, le scandale Facebook-Cambridge Analytica, le piratage de Marriott et un nombre incalculable de fraudes par hameçonnage : 2018 n'aura pas été une bonne année pour la protection des données personnelles. Retour sur les événements marquants.

En ce qui concerne la protection des données personnelles, ceux qui croyaient qu’il était impossible de faire pire qu'en 2017, avec la cyberattaque mondiale WannaCry et le piratage d’Equifax, ont dû changer leur fusil d’épaule cette année.

Déjà en juillet, l’Institut de recherche Ponemon estimait (Nouvelle fenêtre) que le coût des atteintes à la protection des données avait augmenté de 6,4 % et que le nombre d’éléments volés ou perdus dans les attaques informatiques avait augmenté de 2,2 %.

Le scandale Facebook-Cambridge Analytica

Quelques mois avant la parution de ce rapport, un Canadien du nom de Christopher Wylie révélait à la presse que la firme d’analyse stratégique Cambridge Analytica avait indûment recueilli les données de plus de 50 millions d’utilisateurs de Facebook à des fins politiques.

Les données ainsi obtenues ont notamment servi à favoriser les campagnes du oui au Brexit et de Donald Trump à la présidence américaine aux États-Unis.

L’année de Facebook a d’ailleurs été marquée par une série de faux pas très peu enviables, dont un piratage de dizaines de millions de comptes et un scandale sur ses pratiques de lobbying.

L’affaire Facebook-Cambridge Analytica, qui a eu l’effet d’une bombe partout sur la planète, a ouvert les yeux de beaucoup de personnes sur le pouvoir des mégadonnées, ces banques de données de très grande ampleur permettant de tracer un portrait relativement précis de particuliers et de groupes de personnes.

L’électrochoc initial a été si puissant et la pression sociale si forte par la suite que Mark Zuckerberg et de nombreux autres dirigeants d’entreprises technologiques ont défilé devant des comités d’élus dans le monde entier. Leurs témoignages ont finalement permis d’en savoir assez peu sur les coulisses de leurs entreprises. Ils ont toutefois eu pour effet d’éveiller les consciences sur un autre problème : la méconnaissance technologique de nombreux élus et autres officiels.

Spectre et Meltdown

Il faut dire que l’année 2018 avait déjà démarré de bien mauvaise façon avec la découverte par des chercheurs en cybersécurité de deux défauts importants qui touchent la plupart des ordinateurs commercialisés dans les 20 dernières années. Ces failles de sécurité, nommées Spectre et Meltdown, menaçaient directement la sécurité au cœur des ordinateurs, ce qui pouvait mener à l’obtention des codes de chiffrement et des mots de passe stockés dans les appareils.

Un vent de panique a brièvement soufflé sur l’industrie informatique à la parution de ce rapport puisque les chercheurs soulignaient que Spectre était un défaut de fabrication intrinsèque des processeurs. Cela signifie que la seule façon de s’en débarrasser définitivement serait pour les fabricants de processeurs de revoir l’architecture de leurs puces et pour tous les ordinateurs actuellement sur le marché d'être remplacés.

Les failles Spectre et Meltdown ont été prises très au sérieux par la communauté de la cybersécurité, qui a proposé de nombreuses mises à jour pour tenter de les neutraliser.

Le piratage de Marriott

Le groupe hôtelier Marriott International et le système de réservations de sa chaîne d'hôtels Starwood ont été le théâtre de l’un des plus importants piratages de l’histoire en nombre de dossiers compromis.

Avec 500 millions de comptes potentiellement touchés, Marriott reste encore loin du triste record de Yahoo (3,5 milliards de comptes), mais il clôt tout de même l’année de la pire façon qui soit.

La chaîne hôtelière a indiqué que la brèche avait été ouverte en 2014 et était restée active pendant quatre ans.

Quelques jours après la divulgation de ces informations, des enquêteurs privés ont découvert que les personnes qui avaient accédé aux dossiers des clients avaient utilisé des méthodes et des outils rappelant ceux d’espions chinois.

Mercredi, le secrétaire d’État américain Mike Pompeo a abondé dans le même sens en accusant directement la Chine (Nouvelle fenêtre) d’être derrière une série d’attaques informatiques, dont celle visant Marriott, sur les ondes de Fox.

L’identité d’un milliard d’Indiens compromise

L’histoire de Marriott paraît toutefois presque négligeable à côté de celle du système d’identité numérique national indien, Aadhaar.

Une journaliste a découvert en janvier que cette banque de données comprenant les données personnelles, le dossier criminel et même les données biométriques d’un milliard de citoyens indiens avait été piratée.

Les malfaiteurs ont utilisé le service de messagerie WhatsApp, extrêmement populaire en Inde, pour vendre les informations au coût d’environ 7 $ US par compte.

Plus tard dans l’année, d’autres journalistes ont appris qu’un logiciel distribué par le biais de WhatsApp permettait à quiconque de contourner les systèmes de sécurité d’Aadhaar pour s’approprier les données d’autrui.

Cybersécurité

Techno