Les acteurs externes sont responsables de la grande majorité (83 %) des violations et les gains financiers représentent la quasi-totalité (95 %) des violations, ressort-il du dernier « Data Breach Investigations Report » de Verizon. 
La plupart des incidents présentés dans ce rapport sont occasionnés par les ransomware et les vols de données. 
Mais parfois, la cause provient d’une erreur humaine ou d’une personne malveillante au sein de l’entreprise. 
Parfois, les attaques peuvent avoir un impact démesuré, même si le nombre de victimes est relativement réduit.
ESET a compilé les plus grandes attaques qui se sont produites en 2023.

1) MOVEit

Remontant au ransomware Lace Tempest (Storm0950) Clop, cette attaque présentait toutes les caractéristiques des précédentes campagnes du groupe contre Accellion FTA (2020) et GoAnywhere MFT (2023). 
Le mode opératoire est simple : une vulnérabilité Zero Day dans un produit logiciel populaire est utilisée pour accéder aux environnements clients, puis pour exfiltrer autant de données que possible et obtenir une rançon. 
On ignore la quantité des données collectées ou le nombre de victimes occasionnées. Selon des estimations, plus de 2.600 organisations et quelque 83 millions de personnes auraient été touchées. Bon nombre de ces organisations étaient des fournisseurs ou des prestataires de services et cela n’a fait qu’ajouter à l’impact en aval.

2) La Commission électorale britannique

Le régulateur britannique pour le financement des partis et des élections a révélé en août dernier que des hackeurs avaient volé les données personnelles d’environ 40 millions d’électeurs inscrits sur les listes électorales. 
Derrière cette cyberattaque présentée comme «complexe», un rapport d’audit « Cyber Essentials » indique néanmoins que le niveau de sécurité de l’organisation était médiocre. 
Un serveur Microsoft Exchange non patché serait à l’origine de l’attaque. En outre, les acteurs malveillants sondaient probablement le réseau de l’organisation depuis août 2021.

3) Le service de police d'Irlande du Nord (PSNI)

L’incident entre dans la catégorie des violations internes impliquant un nombre restreint de victimes susceptibles de subir un impact démesuré. En août dernier, le PSNI a annoncé qu'un employé avait accidentellement publié des données internes sur le site WhatDoTheyKnow en réponse à une demande d'accès à l'information (Freedom of Information -FOI). Les informations comprenaient les noms, grades et départements d'environ 10.000 officiers et membres du personnel civil, y compris ceux actifs dans la surveillance et le renseignement. Même si l'information n'est restée que deux heures avant d'être retirée, cela a permis de la faire circuler parmi les dissidents républicains irlandais, qui l'ont diffusée. Deux hommes ont été libérés sous caution après avoir été arrêtés pour des délits terroristes.

4) DarkBeam

La plus grande violation de données de l'année a vu 3,8 milliards d'enregistrements exposés par la plate-forme de risque numérique DarkBeam après la mauvaise configuration des interfaces de visualisation de données Elasticsearch et Kibana. Un chercheur en sécurité a remarqué le problème et en a informé l'entreprise qui l’a rapidement corrigé. Mais on ne sait pas combien de temps les données ont été exposées. Ironiquement, les données contenaient des e-mails et des mots de passe provenant de violations de données signalées et non signalées. Cet incident illustre la nécessité de surveiller en permanence les systèmes pour détecter toute mauvaise configuration.

5) Le Conseil indien pour la recherche médicale (ICMR)

Une autre méga-violation, une des plus importantes en Inde, date d’octobre, après qu’un acteur malveillant ait mis en vente les informations personnelles de 815 millions d’habitants. Il semble que les données étaient exfiltrées de la base de données des tests COVID de l’ICMR et comprenaient le nom, l’âge, le sexe, l’adresse, le numéro de passeport et le numéro d’identification gouvernemental (Aadhaar). Cela peut donner aux cybercriminels ce dont ils ont besoin pour des attaques d’usurpation d’identité. En Inde Aadhaar s’utilise comme identification numérique, pour le paiement de factures et les chèques Know Your Customer.

6) 23andMe

Un acteur malveillant a affirmé avoir volé près de 20 millions de données de l’organisation américaine de génétique et de recherche. Il semble qu’il ait d’abord utilisé des techniques classiques de bourrage d’informations d’identification pour accéder aux comptes d’utilisateurs – en utilisant des informations d’identification précédemment violées et que ces utilisateurs avaient recyclées sur 23andMe. Pour les utilisateurs qui avaient choisi le service DNA Relatives sur le site, l'acteur malveillant a alors pu accéder et récupérer bien plus de données provenant de parents potentiels. Parmi les informations répertoriées dans les données figuraient la photo, le profil, le sexe, l’année de naissance, le lieu et les résultats d’ascendance génétique.

7) Attaques DDoS à réinitialisation rapide

Un autre cas inhabituel qui implique une vulnérabilité zero-day dans le protocole HTTP/2, révélé en octobre, a permis aux acteurs malveillants de lancer certaines des plus grandes attaques DDoS jamais vues. Google a déclaré qu’elles avaient atteint un pic de 398 millions de requêtes par seconde (rps), contre un taux précédent de 46 millions de rps. La bonne nouvelle est que les géants de l’Internet comme Google et Cloudflare ont corrigé le bogue. Les entreprises qui gèrent leur propre présence sur Internet ont été invitées à faire immédiatement la même chose.

8) T-Mobile

L'opérateur télécom américain a subi de nombreuses failles de sécurité ces dernières années. Mais celle révélée en janvier 2023 a touché 37 millions de clients, dont l’adresse, numéro de téléphone et date de naissance ont été volés par un acteur malveillant. Un deuxième incident révélé en avril n'a touché qu'environ 800 clients, mais comprenait beaucoup d’autres données, notamment les codes PIN des comptes T-Mobile, les numéros de sécurité sociale, les informations d'identification gouvernementales, les dates de naissance et les codes internes que l'entreprise utilise pour gérer les comptes clients.

9) La MGM International et le Cesars

Deux des plus grands noms de Las Vegas ont été touchés à quelques jours d’intervalle par la même filière du ransomware appelé Scattered Spider. Dans le cas de MGM, ils ont accédé au réseau par une simple recherche sur LinkedIn, puis par une attaque de vishing au cours de laquelle ils se sont fait passer pour le service informatique et ont demandé des informations d'identification. L’attaque a eu un impact financier majeur sur l'entreprise. Pendant des jours, elle a été obligée de fermer d’importants systèmes informatiques, perturbant les machines à sous, les systèmes de gestion des restaurants et même les cartes-clés des chambres. L'entreprise a estimé le coût à 100 millions de dollars. Le coût pour Cesars n’est pas clair, même si la société a admis avoir payé 15 millions de dollars de rançon.

10)  Les fuites du Pentagone

Le dernier incident est un avertissement pour l’armée américaine et pour toute grande organisation inquiète des initiés malveillants. Jack Teixeira, âgé de 21 ans, membre du renseignement de la Massachusetts Air National Guard, a divulgué des documents militaires très sensibles en s’en est vanté auprès de sa communauté sur Discord. Ensuite, ces informations ont été partagées sur d’autres plates-formes et republiées par les Russes qui suivent la guerre en Ukraine. Cela leur a donné un trésor de renseignements militaires concernant cette guerre et a miné les relations des USA avec ses alliés. Teixeira a pu imprimer et emporter chez lui des documents top secrets pour les photographier puis les télécharger.