Cela a été une autre mauvaise semaine en matière de sécurité.
Non seulement nous apprenons que des gouvernements dits « amis » demandent discrètement des données de surveillance concernant les notifications push, mais Apple nous apprend que plus de 2,6 milliards de dossiers personnels ont déjà été compromis par des violations de données au cours des deux dernières années.
C’est presque comme si la meilleure façon de garantir la sécurité de vos données en ligne était de s’assurer que personne ne les stocke. Il semble probable que l’étude commandée par Apple («La menace continue pour les données personnelles”) est conçu pour renforcer les arguments de l’entreprise autour de la nécessité d’un cryptage et d’une sécurité solides des données de bout en bout.
Pour moi, il est même tragique qu’il ait été nécessaire de commander ce rapport, étant donné à quel point il est évident pour quiconque, en dehors de certains gouvernements, que le meilleur moyen de sécuriser les données est de les conserver en sécurité, plutôt que d’introduire une vulnérabilité de conception. Mais il semble que ce soit là où nous en sommes.
Ce qu’Apple a dit
Dans un communiqué, Craig Federighi, vice-président senior de l’ingénierie logicielle d’Apple, a prévenu :
« Les acteurs malveillants continuent de consacrer énormément de temps et de ressources à la recherche de moyens plus créatifs et plus efficaces pour voler les données des consommateurs, et nous ne relâcherons pas nos efforts pour les arrêter. À mesure que les menaces contre les données des consommateurs augmentent, nous continuerons à trouver des moyens de riposter au nom de nos utilisateurs en ajoutant des protections encore plus puissantes.
La vitesse d’attaque augmente incroyablement vite
L’étude, menée par Stuart Madnick, professeur au Massachusetts Institute of Technology, a démontré clairement que les violations de données sont devenues une épidémie mondiale. Le nombre de violations de données a plus que triplé entre 2013 et 2022 et a continué de s’aggraver en 2023.
Le message principal est qu’une protection solide contre les violations doit être obligatoire. Le chiffrement de bout en bout, par exemple, est d’autant plus important lorsque des criminels et des espions douteux soutenus par le gouvernement tentent de s’introduire dans les serveurs sur lesquels se trouvent vos données.
C’est moins problématique lorsque même le serveur ne comprend pas et ne peut pas lire ces informations. Si le serveur ne peut pas le lire, il y a de fortes chances que les auteurs ne le puissent pas non plus.
Nous devrions utiliser la protection avancée des données
Le rapport délivre également un message assez puissant de recommandation sur la nécessité d’activer la protection avancée des données récemment introduite par Apple pour iCloud.
La protection des données d’Apple s’étend déjà au cryptage des informations critiques telles que les mots de passe et autres informations sensibles. La protection avancée des données ajoute à la liste la protection de Notes, de sauvegarde iCloud et de photos, bien qu’il existe certaines limitations.
Tous les internautes devraient être préoccupés par le fait que la dynamique de ces attaques s’accélère de manière si spectaculaire. Rien qu’aux États-Unis, il y a eu près de 20 % de violations de plus au cours des neuf premiers mois de 2023 seulement par rapport à toute année précédente, a déclaré Apple.
Le rapport prévient également que plus de 80 % des violations impliquaient des données stockées dans le cloud, alors même que les attaques contre l’infrastructure cloud ont presque doublé entre 2021 et 2022.
Les attaquants sont sophistiqués et disposent de suffisamment de ressources
Les pirates informatiques sont de plus en plus professionnalisés et dotés de meilleures ressources, conviennent la plupart des experts en sécurité. Quelques eVous pouvez même gérer des services d’assistance pour aider les clients concernés !
Le problème est que les ransomwares sont une activité énorme, qui profite d’attaquants plus sophistiqués qui ont toujours su rassembler et combiner de petites données provenant d’individus situés en bas de la chaîne de sécurité de l’entreprise pour violer la sécurité ailleurs.
Simen Van der Perre, conseiller stratégique chez Orange Cyberdefense, a récemment averti que bon nombre des attaques de ransomware les plus sophistiquées se déroulent au fil du temps et à différentes étapes.
Dans cet environnement, vous devez vous attendre à ce que chaque petite vulnérabilité soit explorée et explorée.
« Les pirates informatiques font évoluer leurs méthodes et trouvent de nouveaux moyens de vaincre les pratiques de sécurité qui les freinaient autrefois. Par conséquent, même les organisations ayant les pratiques de sécurité les plus strictes possibles sont vulnérables aux menaces d’une manière qui n’était pas vraie il y a quelques années à peine », a déclaré Apple.
Chiffrer toutes choses
« Ces dernières années, nous avons assisté à une augmentation sans précédent du nombre et de la sophistication des cybermenaces, les attaques étant de plus en plus adaptées, les criminels visant un impact maximal et un profit maximal », a déclaré Bernardo Pillot (directeur adjoint des opérations de cybercriminalité d’INTERPOL). ) qui est cité dans le rapport.
Mais veiller à ce que les données soient incompréhensibles même en cas d’accès est l’approche de l’entreprise en matière de sécurité personnelle et d’entreprise. Après tout, si quelqu’un s’introduit dans vos données en ligne mais n’y parvient pas, vos données restent effectivement en sécurité.
Bien entendu, les données ne constituent pas uniquement un problème pour les employés et les utilisateurs. Tous ces lacs de données détenus par une myriade d’entreprises différentes sont des cibles potentielles, et nous avons vu des courtiers de données et des systèmes gouvernementaux s’introduire suffisamment de fois pour comprendre que les informations que ces systèmes détiennent sur les personnes devraient également être protégées plus efficacement.
Nous avons besoin de murs plus grands, pas de portes plus grandes
Apple prévient que, parce que les gens vivent désormais une plus grande partie de leur vie en ligne, les entreprises, les gouvernements et d’autres types d’organisations collectent de plus en plus de données personnelles, parfois avec peu de choix de la part des individus.
Dans le même temps, la nature interconnectée du commerce mondial signifie qu’un piratage réussi contre un petit fournisseur en utilisant des données sur des personnes de l’entreprise volées ailleurs peut donner aux attaquants l’accès aux informations stockées sur les serveurs appartenant à une entreprise beaucoup plus grande, mettant ainsi tout le monde en danger. .
Des attaques de ce type peuvent ruiner les relations avec les clients et mettre les entreprises en faillite. Les pays qui suppriment la protection du cryptage de bout en bout pour les utilisateurs particuliers et professionnels feraient mieux de reconnaître le risque qu’ils prennent avec la sécurité numérique de leur population et la réussite de leur entreprise.
Une protection numérique forte et robuste est essentielle dans un monde connecté, l’affaiblir étant un luxe que personne ne peut se permettre.
