Il ne restent que quelques jours pour que le 2016 finisse et, comme chaque année il faut revenir en arrière et voir les attaques qu’on marqué ces derniers mois. Plusieurs piratages de grandes entreprises ont fait la une des journaux en 2016. Le spécialiste de la cyberassurance Hiscox revient sur les attaques les plus impressionnantes de l’année : adresses emails, données personnelles, sommes d’argent, ce sont au total des centaines de millions de personnes touchées.
1. Malware Locky (Février)
Apparu en début d’année dans nombre de boites mails, ce ransomware s’est propagé comme une traînée de poudre aux quatre coins du monde. Le principe est simple : le corps du message demande de payer la facture en pièce jointe mais une fois ouverte, il installe en réalité un programme qui crypte les fichiers et exige ensuite le versement d’une somme en échange de la clé de chiffrement.
Le virus s’est ensuite répandu sur les réseaux sociaux, multipliant ainsi le nombre d’ordinateurs touchés. Locky est sans doute un de plus importantes malwares qu’on a malheureusement vu cette année et qu’on peut continuer à voir pendant les prochaines mois car, n’oubliez pas qu’il y a des variables que ses variantes se sont multipliés dans les dernières semaines.
2. Réseau Swift (Avril)
Swift est un système de messagerie interbancaire utilisé dans le monde entier dont les hackeurs s’en sont servis pour attaquer la Banque Centrale du Bangladesh. Avec cet outil ils sont parvenus à dérober 72 millions d’euros en envoyant de fausses demandes de virements.
3. LinkedIn (Mai)
Créé en 2012, les responsables du célèbre réseau social professionnel avaient à l’époque sous-estimé l’ampleur des dégâts que, finalement se sont avérés, après quatre ans, plus nombreux que prévu. Un total de 117 millions d’emails et de combinaisons de mots de passe avait été dérobé et revendu sur le dark web.
4. Tumblr et MySpace (Mai)
Les réseaux sociaux ont été un des principaux cibles cette année puis que, seulement quelques semaines à peine après l’estimation des dégâts subis par LinkedIn, deux autres réseaux sociaux ont été touchés par le même hacker, qui a ensuite revendu 360 millions d’adresses email sur le dark web via le réseau Tor et la monnaie virtuelle bitcoin. Le hacker présumé a récemment été arrêté en Russie.
5. TheDAO / Ethereum (Juin)
Basé sur la blockchain Ethereum (déclinaison de la technologie à la base du bitcoin), TheDAO est un fond d’investissement décentralisé réputé pour des projets d’investissement participatif. En quelques minutes, plus de 50 millions de dollars ont été dérobés. en utilisant la d’appel récursif, qui consiste à envoyer une fonction spécifique en boucle pour transférer la crypto monnaie.
6. Ashley Madison (Août)
Le célèbre site de rencontres extra-conjugales s’est vu dérober les données de 37 millions de membres (emails, téléphones, noms, adresses, profils), y compris certaines qui étaient censées avoir été supprimées des systèmes de l’entreprise. Les hackeurs n’avaient cette fois-ci pas exigé de rançon, mais demandé une fermeture pure et simple du site.
7. Yahoo Mail (Septembre)
C’est l’un des plus gros piratages de l’année. Yahoo avait déjà été attaqué en 2014, sans qu’aucune information publique n’ait été communiquée, mais cette fois ils n’ont pas pu faire du même et ils ont finalement reconnu officiellement en septembre 2016, après avoir finalisé ses discussions avec Verizon, que la faille de sécurité exploitée par un hacker concernait au moins 500 millions de comptes utilisateurs.
L’enquête est encore en cours mais il semblerait que les hackeurs aient utilisé des cookies pour récolter des identifiants de connexion.
8. Dyn (Octobre)
Le gestionnaire de noms de domaine américain a souffert une attaque DDoS massive qui a touché des serveurs situés dans plusieurs villes de la côte est des Etats-Unis et bloqué l’accès à de nombreux sites de la taille de Netflix, Spotify, Airbnb, Twitter, Paypal ou encore le Playstation network de Sony. C’est peut-être la célébrité de ces sites qui a fait de l’attaque un des plus célèbres d’intérêt.
Dans cette occasion, les hackeurs ont utilisé les failles de sécurité de dizaines de millions d’objets connectés, un des vecteurs d’attaque qui semble continueront a causer des problèmes l’année prochaine, notamment des caméras de surveillance.
9. Dailymotion (Octobre)
La plateforme française de partage vidéo vient d’être victime d’un piratage de sa base de données comptant 85 millions de comptes. Heureusement pour les utilisateurs, la plupart des mots de passe sont relativement bien protégés grâce à un algorithme de chiffrement de qualité.
10. AdultFriendFinder (Novembre)
Encore une fois, un site de rencontres a été la cible d’une attaque. Pour bien comprendre ce genre d’attaques il faut tenir en compte que ce genre de données sont très lucratifs pour les hackeurs, compte tenu de leur nombre et de la facilité avec laquelle elles se revendent : noms d’utilisateurs, mots de passe, emails, etc. Cette fois-ci, l’ampleur de l’attaque est bien plus importante encore que dans le cas d’Ashley Madison, avec 400 millions de comptes touchés.
