Alors que le volume de données échangées à l’échelle mondiale augmente chaque jour, il existe une tendance inverse à la reconnaissance internationale des principes de protection de la vie privée d’une part, et à l’accélération du rythme des politiques de localisation des données d’autre part. Cela a à son tour entraîné une augmentation des violations de données, de la marchandisation et des ventes sur les forums de piratage et le dark web tout au long de 2022 et au début de 2023. Cela met en évidence l’escalade et la diversité des risques pour la sécurité des données à l’échelle mondiale et la transformation des données des utilisateurs en une cible de valeur, associée à une série de crimes associés, notamment le vol et l’extorsion. Par conséquent, l’importance des mesures de sécurité préventives pour préserver l’intégrité des données s’est intensifiée.
Indicateurs clés Tout au long de l’année dernière et au début de cette année, les cas d’atteintes à la protection des données ont augmenté, avec plusieurs exemples importants détaillés comme suit :
Réseaux sociaux : En avril 2022, environ 487 millions de numéros de téléphone personnels d’utilisateurs de WhatsApp dans 84 pays ont été divulgués et mis en vente sur un forum de piratage notoire. Parmi ceux-ci figuraient 94 millions de numéros d’utilisateurs de pays arabes, dont 34 millions d’utilisateurs égyptiens. Auparavant, en avril 2021, les données personnelles d’un demi-milliard d’utilisateurs de Facebook, y compris leurs numéros de téléphone et leurs adresses e-mail, avaient fait surface sur un site de piratage. De plus, le 6 janvier 2023, des pirates ont volé les adresses e-mail de plus de 200 millions d’utilisateurs de Twitter dans l’une des plus grandes violations de données de l’histoire de la plateforme, suivie de la vente de ces données sur un forum de fuite connu sous le nom de (Breached) pour un prix modique (2 euros par compte). En novembre 2022, Twitter avait déjà subi une violation affectant les données de 5,4 millions d’utilisateurs en raison d’une vulnérabilité dans son API.
Applications de stockage en nuage : iCloud d’Apple a fait face à une fuite en novembre 2022 lorsque plusieurs vidéos et images de nombreux utilisateurs ont été exposées, attribuant l’incident à un dysfonctionnement technique affectant les utilisateurs d’iPhone 13 Pro et 14 Pro. En conséquence, les vidéos sont devenues noires, ce qui les a rendues invisibles lors de l’enregistrement ou du téléchargement, tandis que d’autres affichaient des lignes noires avec des images provenant de sources inconnues qui pourraient appartenir à d’autres comptes sur l’application.
Services gouvernementaux : La Royal Mail du Royaume-Uni a subi une violation de données en novembre 2022, entraînant un dysfonctionnement de son service d’expédition de colis Click & Drop, qui permettait aux clients de consulter les informations, les demandes et les détails d’autres utilisateurs. Pour contenir le problème, l’entreprise a interrompu ses services postaux sans divulguer la raison du dysfonctionnement. En outre, les chemins de fer indiens ont subi une cyberattaque affectant les données d’environ 30 millions de clients, y compris des e-mails et des numéros de téléphone, dans un contexte d’inquiétudes quant à l’exposition potentielle des enregistrements de voyage des utilisateurs contenant des noms, des numéros de téléphone, des lieux, des numéros de train, des heures d’arrivée, des e-mails et des nationalités. En décembre 2022, le ministère marocain de l’Enseignement supérieur, de la Recherche scientifique et de l’Innovation a été piraté, ce qui a entraîné la fuite de données de dizaines de milliers d’étudiants affiliés à l’Université publique « Cadi Ayyad University » à Marrakech.
Entreprises privées : Uber a lancé une enquête en septembre 2022 à la suite d’une violation de données de clients résultant d’une vulnérabilité dans son compte Slack utilisé pour la communication entre les clients et l’entreprise. Cela a permis au pirate de prendre le contrôle des systèmes internes et des bases de données de l’entreprise. Suite à cela, Uber a suspendu le service après que ses actions aient diminué de 5 %. Le pirate a menacé de divulguer le code source de l’entreprise, affirmant que la violation avait été faite pour s’amuser, bien qu’elle ait entraîné la saisie des services Web de l’entreprise et de certaines données financières internes.
Institutions bancaires : Environ 1,25 million de détails de cartes bancaires ont été divulgués sur le dark web en octobre 2022 sur une place de marché connue sous le nom de (BidenCash). Ces données personnelles comprenaient les adresses e-mail, les numéros de téléphone et les adresses des clients. Les experts en cybersécurité ont attribué cela aux données d’enregistrement trouvées sur les pages d’achat de plusieurs sites de commerce électronique piratés. En outre, la fuite de données bancaires fournies au journal allemand « Süddeutsche Zeitung » concernant des clients de la banque suisse « Credit Suisse » en février 2022 a révélé la richesse de certaines personnalités politiques et dirigeants anciens/actuels, ainsi que d’individus impliqués dans le blanchiment d’argent et le trafic de drogue en Égypte, en Jordanie, en Algérie, à Oman et au-delà, englobant plus de 18 000 comptes bancaires s’élevant à plus de 100 milliards de dollars sans aucune indication des opérations bancaires actuelles.
Grandes entreprises mondiales : En octobre 2022, un serveur de Microsoft connu sous le nom d’Azure Blob Storage a été piraté, ce qui a entraîné l’exposition des données de plus de 65 000 entreprises dans 111 pays. Ces données comprenaient des informations sur les clients telles que les noms, les numéros de téléphone, les adresses e-mail, ainsi que les noms de certaines entreprises et des données relatives aux ventes. L’entreprise a contacté les clients concernés sans fournir de statistiques détaillées concernant l’atteinte.
Entreprises du secteur de la santé : En novembre 2022, des pirates informatiques ont exigé une rançon de 10 millions de dollars pour empêcher la fuite des dossiers de Medibank, l’une des plus grandes entreprises de soins de santé d’Australie, par l’intermédiaire desquels ils ont accédé aux informations de 9,7 millions de clients actuels et anciens, dont le Premier ministre australien Anthony Albanese. Les données divulguées comprenaient des détails sensibles sur des toxicomanes, des patients atteints de maladies sexuellement transmissibles et des femmes subissant des avortements, qui ont tous été publiés sur le dark web, y compris les noms, adresses et dates de naissance de centaines de clients.
Implications majeures Le nombre croissant de violations de données peut être mis en évidence à travers plusieurs points :
Augmentation des cas d’extorsion : Les pirates informatiques ciblent généralement les données d’individus influents et fortunés ou de grandes institutions préoccupées par leur réputation/valeur marchande, ou d’organisations susceptibles de payer des sommes importantes pour empêcher la publication de leurs informations. Plus les données sont sensibles, plus les risques d’extorsion sont élevés. Cela implique que sa fuite pourrait nécessairement conduire à d’autres crimes, notamment sa vente sur le dark web ou à des journaux/médias nationaux. Néanmoins, le paiement d’une rançon pour empêcher la divulgation ou l’échange de données indique que les pirates ont atteint leurs objectifs, ce qui peut les encourager à cibler à nouveau les mêmes entités à l’avenir parce qu’ils pensent qu’ils paieront à nouveau. À l’inverse, le non-paiement entraîne généralement la publication des données de l’utilisateur et une probabilité accrue de demandes d’indemnisation pouvant être inférieures ou supérieures au montant de la rançon ; Cependant, le paiement ne garantit pas la récupération ou la non-publication des données.
Caractère et diffusion mondiaux : Les violations de données peuvent toucher tous les pays, quel que soit leur niveau d’avancement, ainsi que toutes les entreprises, quelle que soit leur taille. Par exemple, en juillet 2022, une fuite d’informations provenant de l’une des bases de données de la police de Shanghai a révélé les coordonnées d’un milliard de citoyens, avec plus de 23 téraoctets de données vendues pour 10 bitcoins (environ 200 mille dollars) sur un forum de piratage. À l’inverse, en décembre 2022, les Pays-Bas ont également connu la fuite en ligne des détails du passeport et des certificats de vaccination de centaines de joueurs professionnels de tennis de table, à la suite d’un problème de sécurité lié au serveur de la Fédération internationale de tennis de table.
Importance croissante des données à l’échelle mondiale : À l’instar de divers programmes et plateformes vidéo, les données sont sujettes au piratage et aux violations, et à mesure que les particuliers et les entreprises s’y fient, elles deviennent de plus en plus ciblées. La nature mondiale généralisée des violations de données, qu’il s’agisse de services gouvernementaux, de grandes entreprises technologiques, de chaînes d’approvisionnement mondiales, etc., souligne son importance cruciale, indiquant sa transformation en pétrole du 21e siècle. Les données sont devenues l’épine dorsale de l’économie mondiale et l’un des principaux piliers du développement économique. En outre, il sous-tend la transformation numérique et constitue la principale porte d’entrée vers l’économie numérique mondiale.
Faiblesse des mécanismes de protection : Malgré les nombreuses lois de protection de la vie privée en place, elles ne dissuadent pas les pirates informatiques, surtout si l’on considère les défis liés à la divulgation de leur identité en raison de techniques d’obscurcissement avancées, pour n’en nommer que quelques-unes. De plus, l’efficacité de ces lois concerne généralement les cas où les grandes entreprises technologiques encourent des pénalités financières en raison de fuites de données d’utilisateurs. Pour cette raison, un pirate a offert à Elon Musk la possibilité d’acheter exclusivement des données Twitter divulguées afin d’éviter de lourdes amendes. De même, Meta a accepté de payer 725 millions de dollars pour régler un procès de plusieurs années alléguant des violations des données des utilisateurs en 2018 et leur partage avec la société de conseil politique Cambridge Analytica. Cette sanction est légèrement inférieure à celle infligée par la Commission nationale de protection des données du Luxembourg à Amazon en 2021, soit 746 millions d’euros pour violation des lois de l’UE sur la protection des données.
Importance accrue de la localisation des données : La prolifération des violations de données, en particulier les plateformes de médias sociaux, souligne la nécessité de la localisation des données, c’est-à-dire le stockage et le traitement des données sur des serveurs nationaux plutôt qu’à l’étranger afin d’assurer un environnement sécurisé pour l’échange d’informations dans le cyberespace. Cela nécessite la mise en place d’alternatives nationales pour les médias sociaux, comme l’illustre la Chine, qui oblige les entreprises technologiques étrangères à stocker les données des utilisateurs au niveau national et met en œuvre de nouvelles restrictions sur le contenu, ses sites de médias sociaux représentant plus de la moitié des plateformes sociales les plus actives au monde.
En conclusion, l’importance croissante d’une protection robuste des données des utilisateurs est devenue primordiale, car ces données représentent le plus grand trésor des plateformes de médias sociaux qui offrent des services gratuits sans que les utilisateurs ne se rendent compte qu’ils sont le prix à payer. Les utilisateurs ne peuvent pas déterminer le sort de leurs données, ni être au courant des nombreuses entreprises, institutions et agences gouvernementales, ainsi que des pirates informatiques, qui les poursuivent. Par conséquent, il est essentiel d’investir dans des mesures de cybersécurité et de sensibiliser à l’importance de la protection et de la localisation des données, en particulier à la lumière de la myriade de défis auxquels le pays est confronté.