Depuis les Skyhigh Studios à l'adresse Skyhigh Security, je suis Scott Schlee, nous sommes le jeudi 12 décembre 2024, et aujourd'hui, nous vous présentons les 10 principaux titres de l'année 2024 en matière de cybersécurité. Cette année, les défis n'ont pas manqué, qu'il s'agisse de failles dans le secteur de la santé exposant des millions de dossiers, de la panne mondiale de CrowdStrike qui a perturbé les entreprises du monde entier, ou encore d'une faille qui s'est propagée d'une entreprise à l'autre. Ces histoires reflètent l'évolution constante des menaces auxquelles nous sommes confrontés et certaines des leçons essentielles apprises en cours de route. Et maintenant, sans ordre particulier, plongeons dans l'année écoulée en matière de cybersécurité."
En juillet 2024, une compilation massive de près de 10 milliards de mots de passe en clair, baptisée "RockYou2024", a fait l'objet d'une fuite sur un forum de piratage populaire. Cet ensemble de données regroupait des mots de passe provenant de milliers de violations antérieures, anciennes et récentes, créant ainsi un répertoire sans précédent d'informations d'identification compromises. Cette fuite a considérablement accru le risque d'attaques par "credential stuffing", où les cybercriminels exploitent des mots de passe réutilisés pour obtenir un accès non autorisé à divers comptes. Les experts en sécurité ont exhorté les particuliers à réinitialiser immédiatement les mots de passe compromis, à adopter des mots de passe forts et uniques pour chaque compte, à utiliser des gestionnaires de mots de passe et à activer l'authentification multifactorielle afin d'atténuer les menaces potentielles.
En janvier 2024, Microsoft a révélé que le groupe d'État russe Midnight Blizzard (également connu sous le nom d'APT29 ou Nobelium) avait infiltré ses systèmes de messagerie d'entreprise. Les attaquants ont utilisé une attaque par pulvérisation de mot de passe pour compromettre un compte de test de non-production manquant d'authentification multifactorielle. Cette première intrusion leur a permis d'élever leurs privilèges et d'accéder à un petit pourcentage des comptes de messagerie de l'entreprise, notamment ceux des cadres supérieurs et du personnel chargé de la cybersécurité. Le groupe a exfiltré des courriels et des pièces jointes, dans le but de recueillir des informations sur la connaissance qu'avait Microsoft de ses opérations. Microsoft a depuis lors mis en œuvre des mesures de sécurité renforcées dans l'ensemble de ses environnements afin d'éviter que de tels incidents ne se reproduisent à l'avenir.
En février 2024, Change Healthcare, une filiale de UnitedHealth Group, a été victime d'une attaque de ransomware par le groupe ALPHV/BlackCat, compromettant les informations personnelles et médicales de plus de 100 millions de personnes - la plus grande violation de données médicales de l'histoire des États-Unis. Les données volées comprenaient des noms, des coordonnées, des numéros de sécurité sociale, des dossiers médicaux et des informations financières. La violation a perturbé les services de santé dans tout le pays, affectant le traitement des demandes de remboursement et les soins aux patients. UnitedHealth a payé une rançon de 22 millions de dollars aux attaquants et a informé les personnes concernées en leur offrant deux ans de services gratuits de surveillance du crédit et de protection de l'identité.
En avril 2024, National Public Data, une société de vérification des antécédents, a été victime d'une violation massive de données qui a exposé environ 2,9 milliards d'enregistrements, affectant jusqu'à 170 millions de personnes aux États-Unis, au Royaume-Uni et au Canada. Les données compromises comprenaient les noms complets, les numéros de sécurité sociale, les adresses postales, les adresses électroniques et les numéros de téléphone. La violation a été attribuée à un pirate informatique tiers qui a eu accès aux systèmes de l'entreprise en décembre 2023, et les fuites de données se sont produites d'avril à l'été 2024. Cet incident a donné lieu à de multiples recours collectifs et à une atteinte importante à la réputation, ce qui a conduit National Public Data à se placer sous la protection du chapitre 11 de la loi sur les faillites en octobre 2024.
À la mi-2024, un groupe de cybercriminels identifié sous le nom de UNC5537 a mené une série d'attaques visant les clients de Snowflake, une importante plateforme de données en nuage. En exploitant les informations d'identification recueillies par des logiciels malveillants de type infostealer, les attaquants ont accédé à environ 165 comptes clients dépourvus d'authentification multifactorielle (MFA), ce qui a conduit à l'exfiltration d'importants volumes de données sensibles. Parmi les victimes les plus connues figurent Ticketmaster, Santander Bank et AT&T. Dans le cas de cette dernière, les enregistrements d'appels de plus de 100 millions de clients ont été divulgués. Les attaquants ont tenté d'extorquer les organisations touchées, exigeant des rançons pour empêcher la publication des données volées. En réponse, Snowflake a collaboré avec la société de cybersécurité Mandiant pour enquêter sur les violations et a depuis lors lancé des plans visant à rendre obligatoire le MFA pour tous les comptes d'utilisateur afin de renforcer la sécurité.
En mai 2024, Ticketmaster a subi une importante violation de données qui a exposé les informations personnelles d'environ 560 millions de clients dans le monde entier. Le groupe de pirates informatiques ShinyHunters en a revendiqué la responsabilité, proposant 1,3 téraoctet de données volées - y compris des noms, des adresses, des numéros de téléphone et des détails partiels de cartes de crédit - pour 500 000 dollars sur le dark web. Ticketmaster a détecté une activité non autorisée le 20 mai et a depuis collaboré avec les forces de l'ordre et des experts en cybersécurité pour enquêter sur la violation. La société a assuré ses clients que leurs comptes restaient sécurisés et a offert aux personnes concernées 12 mois de services gratuits de surveillance de l'identité. Il est conseillé aux clients de surveiller leurs comptes financiers pour détecter toute activité suspecte et d'être vigilants face à d'éventuelles tentatives d'hameçonnage.
En juillet 2024, AT&T a révélé une importante violation de données qui a compromis les enregistrements d'appels et de textes de presque tous ses clients sans fil. La violation a touché environ 110 millions de personnes, exposant des métadonnées telles que les numéros de téléphone, les durées d'appel et les emplacements des tours de téléphonie cellulaire associées. Bien que le contenu des communications et les informations personnelles sensibles telles que les numéros de sécurité sociale n'aient pas été inclus, les données exposées ont pu être exploitées pour des attaques de phishing ciblées et d'autres activités malveillantes. AT&T a depuis sécurisé la faille, averti les clients concernés et collabore avec les forces de l'ordre, ce qui a donné lieu à au moins une arrestation liée à l'incident.
En mai 2024, Ascension, un important système de santé américain, a été victime d'une attaque par ransomware déclenchée par un employé qui a téléchargé par inadvertance un fichier malveillant. Le groupe Black Basta, lié à la Russie, a été identifié comme l'auteur de l'attaque. La violation a perturbé les activités des 140 hôpitaux d'Ascension, entraînant des détournements d'ambulances, des procédures médicales reportées et une panne de six semaines des dossiers médicaux électroniques (EHR). Sur le plan financier, l'attaque a contribué à une perte nette de 1,1 milliard de dollars pour l'exercice fiscal se terminant le 30 juin 2024, en raison de retards dans les processus du cycle des recettes et de l'augmentation des coûts de remédiation. Ascension a depuis rétabli l'accès aux DSE et collabore avec des experts en cybersécurité pour renforcer ses défenses et prévenir de futurs incidents.
En juin 2024, CDK Global, l'un des principaux fournisseurs de logiciels pour les concessionnaires automobiles, a été victime d'une attaque de ransomware par le groupe BlackSuit, ce qui a entraîné des perturbations opérationnelles généralisées dans environ 15 000 concessionnaires en Amérique du Nord. La violation a obligé de nombreux concessionnaires à revenir à des processus manuels, ce qui a considérablement ralenti les opérations de vente et de service. Pour accélérer la restauration du système, CDK Global aurait payé une rançon de 25 millions de dollars aux attaquants. Cet incident a non seulement mis en évidence les vulnérabilités de l'infrastructure numérique du secteur automobile, mais aussi les risques financiers et opérationnels considérables associés aux cyberattaques.
En juillet 2024, une mise à jour logicielle défectueuse de la société de cybersécurité CrowdStrike a provoqué une panne informatique mondiale, perturbant de nombreuses industries. La mise à jour défectueuse a entraîné des pannes de système généralisées, notamment l'affichage de "l'écran bleu de la mort" sur les appareils Windows. Cet incident a touché plus de 8,5 millions d'appareils dans le monde, clouant au sol des milliers de vols, interrompant les transactions financières et perturbant les services de santé. Le processus de récupération a été complexe, nécessitant des interventions manuelles et des redémarrages de systèmes, ce qui a prolongé les temps d'arrêt pour de nombreuses organisations. Cette panne a mis en évidence le besoin critique de tests logiciels robustes et les vulnérabilités inhérentes aux solutions centralisées de cybersécurité.
Voilà pour les grands titres de l'année 2024. Merci encore d'avoir écouté Skyhigh CloudCast. Si vous avez apprécié cet épisode, n'oubliez pas de vous abonner sur votre plateforme de podcast préférée pour ne jamais manquer une mise à jour. Si vous avez aimé l'émission, laissez-nous un commentaire. Cela aidera d'autres personnes à trouver le podcast. Pour plus d'informations sur Skyhigh Security ou CloudCast, veuillez consulter SkyhighSecurity.com.
Remarque : toutes les transcriptions sont générées à l'aide d'un logiciel de reconnaissance vocale et d'une transcription humaine, et peuvent contenir des erreurs. Veuillez vérifier l'audio correspondant avant de le citer en version imprimée.