L’année 2024 a été marquée par une série de fuites de données massives, touchant des millions de personnes à travers le monde. Mais au-delà de l’ampleur de ces incidents, c’est surtout la mauvaise gestion de crise de certaines entreprises qui a fait scandale. Retour sur les cas les plus emblématiques de l’année.
23andMe rejette la faute sur ses utilisateurs
Le géant des tests génétiques 23andMe a perdu les données génétiques et généalogiques de près de 7 millions de clients suite à une fuite causée par des pirates ayant forcé l’accès à des milliers de comptes. Au lieu d’assumer sa part de responsabilité, l’entreprise a préféré pointer du doigt ses utilisateurs, les accusant de ne pas avoir suffisamment sécurisé leurs comptes. Un argument qualifié « d’absurde » par les avocats des centaines de clients ayant porté plainte. Les autorités britanniques et canadiennes ont ouvert une enquête.
Change Healthcare admet au compte-gouttes le vol de données de santé
L’entreprise de technologies de santé Change Healthcare, qui traite entre un tiers et la moitié des transactions de santé américaines chaque année, a dû stopper tout son réseau suite à une cyberattaque en février. Il aura fallu 7 mois et une audition au Congrès pour que Change admette finalement que plus de 100 millions de dossiers médicaux avaient été dérobés, dans ce qui s’avère être la plus grosse fuite de données de santé de l’histoire. Le tout à cause d’un simple compte utilisateur sans authentification multi-facteurs…
Les clients de Snowflake victimes d’un effet boule de neige
Le géant du cloud computing Snowflake s’est retrouvé cette année au cœur d’une série de piratages massifs visant ses clients comme AT&T, Ticketmaster ou Santander. En cause : l’absence d’obligation d’authentification multi-facteurs, qui a permis aux hackers de pénétrer les comptes en utilisant des mots de passe volés. Des centaines de banques de données ont ainsi pu être dérobées et utilisées pour faire chanter les entreprises. Snowflake a fini par généraliser l’authentification forte, un peu tard…
Hot Topic perd les données de 57 millions de clients
Avec 57 millions de clients touchés, la fuite de données du détaillant américain Hot Topic en octobre est l’une des plus importantes de l’histoire dans le commerce de détail. Pourtant, l’entreprise n’a toujours pas confirmé publiquement l’incident ni alerté les personnes concernées, alors que les données comprenaient des adresses, numéros de téléphone et même des éléments de cartes bancaires. Hot Topic a aussi ignoré nos demandes de commentaires.
Le silence coupable de MoneyGram
Le spécialiste américain du transfert d’argent MoneyGram, qui compte plus de 50 millions de clients, a admis avoir été piraté en septembre. Mais il aura fallu attendre des semaines pour que l’entreprise confirme que des données personnelles, dont des numéros de sécurité sociale et des informations sur des enquêtes criminelles, avaient été volées. Pire, MoneyGram n’a toujours pas précisé combien de clients étaient concernés, ni combien ont été directement notifiés.
Mentions (dés)honorables
D’autres entreprises ont aussi brillé par leur mauvaise gestion cette année :
- AT&T a nié une fuite massive jusqu’à ce qu’un chercheur prouve le contraire
- 4 entreprises de cybersécurité ont écopé d’amendes pour avoir minimisé leurs propres incidents
- Brainstack a involontairement confirmé être derrière le spyware mSpy suite à un piratage
- Evolve Bank a menacé de poursuites un journaliste qui révélait sa fuite de données
Ces exemples montrent que les fuites massives de données personnelles et confidentielles sont devenues monnaie courante. Mais la façon dont les entreprises gèrent (ou pas) ces crises et communiquent avec les victimes est tout aussi préoccupante. Il est grand temps qu’elles prennent leurs responsabilités au sérieux.
Mots-clés : fuites de données 2024, cybersécurité, données personnelles, piratage, ransomware, RGPD, santé, génétique, cloud
