Le 12 mai dernier, Tumblr révélait la découverte d’une faille de sécurité datant de 2013 et affectant les adresses email et mots de passe de 65 millions d’utilisateurs. Le hacker, également à l’origine des attaques contre LinkedIn ayant conduit au vol de 164 millions d’identifiants, et plus récemment au piratage de 427 millions de comptes MySpace, a mis ces données en vente sur le dark web via la marketplace TheRealDeal.
Jean-François Pruvot, Regional Director France chez CyberArk commente :
« Les informations personnelles d’identification ont une grande valeur pour les hackers ; tout ce qui permet de constituer le portrait complet d’un individu peut se révéler bien plus précieux que les numéros d’une carte de paiement. Le plus inquiétant est que les hackers puissent utiliser les adresses emails pour collecter le maximum d’informations sur les individus via des techniques de phishing ; cela implique en effet la mise en péril d’autres aspects de leur vie numérique et peut conduire à des usurpations d’identités dont les conséquences pourraient s’avérer bien plus graves.
En outre, la plupart des mots de passe que nous définissons pour l’ensemble de nos comptes ont tendance à être identiques ou similaires pour en faciliter la mémorisation – ou par paresse – et restent inchangés pendant de longues périodes, voire indéfiniment. Dans ce contexte, la tactique des pirates informatiques consistera à choisir le mot de passe qui permettra d’ouvrir les autres portes – et leur permettra ainsi de dérober les informations qui leur permettront de parvenir à leurs fins.
Du point de vue des entreprises, leur capacité légale à “fermer les yeux” sur d’importantes failles de sécurité historiques, et à ne pas les signaler, est vouée à disparaître avec le règlement européen General Data Protection Regulation (GDPR) dont l’entrée en vigueur est prévue en France en 2018. Cela signifie donc qu’il leur incombe de renforcer les bonnes pratiques afin qu’elles soient en mesure de les contenir si, ou quand, elles seront victimes d’une cyberattaque, de pertes de données ou de compromissions. Aujourd’hui, les entreprises ont besoin en priorité de surveillance en temps réel et d’analyse des comportements des utilisateurs qui donne en effet aux entreprises une chance d’identifier un assaillant lorsqu’une tentative d’intrusion est en cours sur le réseau. »