nameemailssnpw hashphoneaddrcardnamedob

Violations de données

11 lecture min.Sécurité

Presque tous les adultes ont été victimes d'une violation de données. Probablement plusieurs. Les mécanismes vont des intrusions sophistiquées au niveau de l'État aux simples compartiments S3 laissés ouverts sur Internet, mais les conséquences sont les mêmes : vos données sont entre les mains de quelqu'un d'autre. Comprendre les catégories vous indique quoi faire réellement à ce sujet.

Le corps complet de l’article est fourni en anglais ci-dessous.

A violation de données est tout incident au cours duquel des données personnelles ou confidentielles détenues par une organisation sont exposées à des personnes qui n'étaient pas censées les avoir. Les données peuvent être des noms, des e-mails, des mots de passe (hachés ou en clair), des cartes de paiement, des numéros de sécurité sociale, des dossiers de santé, un historique de navigation, des données de localisation — tout ce qui est stocké sur les utilisateurs. Les chiffres sont stupéfiants : HaveIBeenPwned indexe plus de 14 milliards d'enregistrements individuels violés en 2026, et cela ne représente qu'une fraction du total réel.

Le principales catégories de violations

  • Fuites de bases de données d'informations d'identification. Un attaquant vole la table des utilisateurs : noms d'utilisateur, e-mails, hachages de mots de passe. Parfois, les hachages sont forts (bcrypt avec un coût élevé), parfois incroyablement faibles (MD5, SHA-1 non salé). Même les hachages forts révèlent que vous disposez d'un compte sur ce service.
  • Stockage cloud mal configuré. Compartiments S3, instances MongoDB, clusters Elasticsearch laissés ouverts à l'Internet public. Les chercheurs en sécurité les trouvent régulièrement et les signalent ; les criminels les trouvent aussi. Aucune exploitation nécessaire : il suffit d'ouvrir l'accès.
  • PLZ14X
  • SQL et attaques directes d'applications. Les applications Web vulnérables permettent aux attaquants d'interroger directement la base de données. Moins courant aujourd'hui qu'il y a vingt ans, mais pas disparu.
  • Violations de la chaîne d'approvisionnement. Les attaquants compromettent une dépendance à un fournisseur ou à un logiciel, puis exploitent cet accès dans de nombreux environnements clients. SolarWinds, Codecov, Kaseya en sont les exemples célèbres.
  • Menaces internes. Les employés disposant d'un accès légitime prennent les données – à des fins de vente, d'exploitation ou de dénonciation.
  • Phishing et piratage de compte. Un seul compte administrateur compromis dans un outil destiné aux clients peut conduire à une collecte massive de données. export.
  • Ransomware double-extortion. Les opérateurs de Ransomware exfiltrent les données avant de les chiffrer. Même si vous ne payez pas, les données disparaissent ; même si vous payez, vous n'avez aucune garantie que les données seront détruites.

Le cycle de vie des violations

La plupart des violations suivent un chemin prévisible :

  1. Accès initial — phishing, service exposé, chaîne d'approvisionnement
  2. Interne escalade — l'attaquant se déplace latéralement et accède aux magasins de données
  3. Exfiltration — données copiées, souvent pendant des semaines pour éviter d'être détectées
  4. Discovery — l'équipe de sécurité ou un tiers remarque quelque chose d'anormal, généralement des mois après l'exfil commencé
  5. Notification — utilisateurs concernés avertis, régulateurs alertés, divulgation publique
  6. Revente — les données apparaissent sur les marchés du dark web, sont combinées avec des violations précédentes dans des listes combo

Le délai médian entre l'intrusion initiale et la découverte est passé de plus de 200 jours par an il y a dix ans à moins de 100 jours aujourd'hui — encore beaucoup trop long, mais une amélioration significative. Entrez un e-mail ; voir s'il s'agit de violations connues. Abonnez-vous pour des notifications proactives. Notre test breach utilise l'API HIBP.

  • Notification directe — Entreprises légalement tenues de divulguer en vertu du RGPD (Europe), des lois des États (Californie, etc.) et de diverses réglementations sectorielles. La notification arrive souvent des mois après la violation.
  • Alertes du gestionnaire de mots de passe — 1Password, Bitwarden et similaires vérifient vos informations d'identification stockées par rapport aux bases de données de violation et aux comptes concernés.
  • Alertes de violation du navigateur — Chrome, Safari, Edge avertissent de manière proactive lorsqu'un mot de passe enregistré apparaît dans un violation.
  • Couverture de l'actualité — Les violations importantes font l'actualité, mais les utilisateurs spécifiques concernés ne sont souvent nommés que plus tard.

    • Que faire en cas de violation

    La réponse standard, dans l'ordre :

    1. Changez le mot de passe sur le service concerné. Utilisez un nouveau mot de passe unique et fort.
    2. Changez les mots de passe sur tout autre service où vous avez utilisé le même mot de passe ou un mot de passe similaire.
    3. Activez 2FA sur le service concerné si vous ne l'avez pas déjà fait.
    4. Surveillez les attaques associées — les e-mails de phishing faisant référence à des données de violation sont courants à l'époque. suite à une divulgation publique.
    5. MSurveiller les comptes financiers si des données de paiement étaient impliquées. De nombreux pays vous permettent de geler votre dossier de crédit sans frais.
    6. Envisagez un service de surveillance d'identité si la violation a exposé des données équivalentes au SSN - bien que leur valeur soit plus une tranquillité d'esprit qu'une protection réelle.

    Pourquoi les mêmes données apparaissent dans de nombreuses violations

    Une fois les données violées et sur les marchés illégaux, cela est combiné avec des violations précédentes dans combolists – des bases de données groupées de paires e-mail/mot de passe réparties sur des centaines de violations. De nouvelles brèches s’ajoutent à la pile ; les anciennes données circulent indéfiniment. Votre mot de passe LinkedIn 2015 est toujours dans les listes déroulantes actuelles. C'est pourquoi même les violations vieilles de dix ans affectent encore les utilisateurs aujourd'hui, en particulier ceux qui ont réutilisé leurs mots de passe.

    Ce que les organisations devraient faire

    Trois défenses structurelles qui réduisent considérablement l'ampleur des violations :

    • Hachage de mot de passe puissant. bcrypt, scrypt ou Argon2 à un coût approprié. Les violations échouées qui exposent uniquement des hachages forts sont beaucoup moins dommageables que celles exposant du texte brut ou MD5.
    • Encrypted at rest. Chiffrement au niveau de la base de données lié à un module de sécurité matériel. L'attaquant qui obtient une sauvegarde de base de données a également besoin de l'accès HSM.
    • Minimisation des données. Ne collectez pas ce dont vous n'avez pas besoin. La violation de l’application Tea en 2024 a été douloureuse, notamment parce que l’application collectait les documents d’identité des femmes ; si ce n'était pas le cas, la violation aurait été bien moins grave.

    Questions fréquemment posées

    Dois-je payer un service de protection d’identité après une violation ?
    Probablement pas. Leur proposition de valeur réside dans la surveillance de services que vous pouvez réaliser vous-même gratuitement. Un dossier de crédit gelé (gratuit aux États-Unis), un gestionnaire de mots de passe et 2FA sur les comptes importants offrent la plupart des avantages pratiques. Les services coûteux consistent principalement en une assurance pour le temps légal et un remboursement, dont la plupart des utilisateurs n'ont pas besoin.
    Pourquoi mes informations d'identification font-elles l'objet de violations dont je n'ai jamais entendu parler ?
    Combolistes. Les violations plus anciennes sont regroupées dans des bases de données en masse vendues et remises en circulation pendant des années. Certaines « violations » répertoriées par HIBP sont des combolistes et non des incidents originaux. Les données sont toujours réelles : seul le nom de la source correspond à l'agrégateur, pas au site d'origine.
    Les mots de passe cryptés sont-ils sécurisés en cas de violation ?
    Cela dépend du hachage. Les hachages bcrypt ou Argon2 résistent presque indéfiniment au piratage hors ligne des mots de passe forts uniques ; les mots de passe faibles ("password123", "qwerty") sont victimes d'attaques par dictionnaire, même contre des hachages forts. Le MD5 non salé est cassé presque immédiatement pour tout mot de passe raisonnable. Le choix de hachage du site compte autant que votre mot de passe.
    Dois-je fermer des comptes après une violation ?
    Si vous n'utilisez pas le service, oui : moins de comptes = surface d'attaque plus petite. Si vous en avez toujours besoin, modifiez le mot de passe et ajoutez 2FA. La suppression d'un compte ne supprime pas rétroactivement les données violées, mais limite l'exposition future.
    Quelle est la violation de données la plus dommageable ?
    Difficile de classer, mais la violation de Yahoo en 2013-2014 (3 milliards de comptes), la violation d'Equifax en 2017 (147 millions de SSN et de données de crédit) et divers combolists ont chacun exposé d'énormes populations d'utilisateurs. Les dommages varient selon la sensibilité des données : le SSN/l'exposition au crédit est plus difficile à récupérer qu'un e-mail + un mot de passe.
    Les violations de données expliquées : comment elles se produisent, comment vous les découvrez et que faire