Cryptographic Failure Vulnerability: Explanation and Examples

On dit que celui qui contrôle les données contrôle le monde. On dit aussi que la connaissance, c’est le pouvoir. Quelle que soit la façon dont vous le formulez, une chose est certaine : l’information est la marchandise la plus convoitée de nos jours.

Vous êtes-vous déjà demandé pourquoi la plupart des services actuels, notamment en ligne, sont techniquement gratuits ? C’est parce que nous ne sommes pas les clients — nous sommes le produit.

Nous confions aux plateformes de réseaux sociaux, aux boutiques en ligne et à d’innombrables autres sites web une multitude d’informations personnelles, et ils n’en sont jamais rassasiés. Et, bien que les informations sensibles soient, justement, sensibles, elles sont rarement traitées avec autant de précaution qu’elles le devraient. C’est là qu’interviennent les failles cryptographiques.

Également connue sous le nom d’exposition de données sensibles, une faille cryptographique est l’une des plus grandes menaces de sécurité auxquelles les entreprises, grandes et petites, font face aujourd’hui. Mais, avant de comprendre comment cela peut se produire, découvrons d’abord ce qu’est une faille cryptographique, voulez-vous ?

Failles cryptographiques : Signification et exemples

Sans vous submerger de terminologie technique, une faille cryptographique est une défaillance de sécurité qui survient lorsqu’une entité tierce (applications, pages web, différents sites) expose des données sensibles. Plus précisément, c’est lorsque cette entité le fait sans intention délibérée. Qu’il s’agisse de négligence, d’incompétence ou d’un manque de jugement, une faille cryptographique peut avoir des conséquences catastrophiques, tant sur le plan personnel que professionnel.

Parfois, c’est une protection insuffisante de la base de données. D’autres fois, c’est dû à des erreurs de configuration lors de la mise en place de nouvelles instances de stockage. Parfois encore, l’exposition de données sensibles résulte d’une utilisation inappropriée des systèmes de données.

Des failles logicielles. Un chiffrement faible. Aucun chiffrement du tout. Un téléchargement accidentel vers une mauvaise base de données. Les entreprises disposent de nombreuses façons de s’exposer et de divulguer des informations sensibles.

Mais prenons un peu de recul. Qu’en est-il de ces types de défaillances ? Et comment les prévenir ? Continuons.

Qu’est-ce qu’une faille cryptographique ?

Appelée à l’origine exposition de données sensibles, une faille cryptographique survient lorsqu’un système rend des données sensibles accessibles à des personnes potentiellement malveillantes. Elle survient également lors d’un incident de sécurité qui permet l’effacement, la destruction ou l’altération accidentels ou illicites, ou la divulgation non autorisée d’informations sensibles.

En général, les failles cryptographiques se répartissent en trois catégories :

  • Violation de la confidentialité. C’est ce qui se produit lorsqu’une tierce partie est en mesure d’accéder à des données confidentielles ou lorsqu’une organisation les divulgue accidentellement.
  • Violation de l’intégrité. Cela décrit une situation où des données sensibles sont altérées, là encore, sans autorisation et/ou intention.
  • Violation de la disponibilité. Appartiennent à cette catégorie les scénarios où des données sensibles sont détruites ou auxquelles vous perdez l’accès. La catégorie couvre les pertes de données permanentes ainsi que temporaires.

À ce stade, vous vous demandez peut-être : « Les données sensibles sont-elles les mêmes que les données personnelles ? Ou y a-t-il une différence entre les deux ? » Une question tout à fait légitime, à laquelle nous allons répondre immédiatement.

Données personnelles vs données sensibles

En bref, les données personnelles couvrent toute information relative à des personnes physiques (c’est-à-dire conscientes) identifiées ou identifiables. Les données non personnelles, en revanche, comprennent des informations qui n’ont aucun rapport avec des personnes identifiables ou qui ne sont pas propres à un individu particulier.

Les données sensibles, quant à elles, englobent toute information qui révèle ou pourrait révéler des individus :

  • Données de santé, biométriques et génétiques
  • Orientation sexuelle, vie sexuelle ou tout ce qui s’y rattache
  • Origines raciales, ethniques et/ou nationales
  • Opinions politiques
  • Appartenance à des organisations religieuses, politiques et/ou philosophiques
  • Croyances religieuses et/ou politiques
  • Adhésion à un syndicat
  • Et bien d’autres encore.

« Une faille cryptographique n’est donc qu’un autre terme pour violation de données ? », pourriez-vous vous demander. Une question tout à fait légitime. Mais la réponse est non, pas tout à fait. Bien que les deux partagent quelques similitudes, il existe également une différence notable entre eux.

Faille cryptographique vs violation de données

En résumé, une violation de données décrit un incident de sécurité où des intrus sont en mesure d’accéder à des informations confidentielles sans autorisation.

Dans ce cas, les attaquants cherchent à obtenir des informations personnellement identifiables ou toute autre donnée pouvant leur procurer un gain financier, compromettre des identités ou être vendues sur le dark web. En d’autres termes, ils cherchent à obtenir des données pouvant être qualifiées de précieuses. L’objectif peut être de voler, modifier ou détruire ces données.

Une faille cryptographique, en revanche, c’est ce qui se produit lorsque vous laissez des données librement accessibles (sur un serveur ou dans une base de données) à n’importe qui. Le plus souvent, les failles cryptographiques surviennent lorsque vous laissez des informations de configuration non sécurisées en ligne. Mais ce n’est pas tout.

Ce qui conduit aux failles cryptographiques

Les failles cryptographiques surviennent parce que les organisations ne traitent pas certaines informations comme elles le devraient. Parfois, on peut trouver des données sensibles dans des documents en texte clair laissés sans surveillance.

Bien sûr, lorsque les sites n’activent pas la sécurité HTTPS et ne sécurisent pas la connexion via SSL, les pages web et les applications qui stockent des informations sensibles seront toujours vulnérables.

Par ailleurs, lorsque vous stockez des données sensibles dans une base de données non sécurisée, vous pouvez également les exposer facilement aux intrus. Pour être précis, une base de données non sécurisée est toute base de données pouvant être victime d’attaques telles que les injections SQL, qui utilise un algorithme ou une clé cryptographique faible, qui n’implémente pas des pratiques de mots de passe hachés et salés, et/ou qui stocke des données de nombreuses autres façons non sécurisées.

Comme vous le savez, les attaques par injection SQL sont des techniques d’injection de code qui permettent aux pirates d’interférer avec les requêtes que les applications adressent à leurs bases de données respectives. Vous pouvez utiliser cette technique pour « s’approprier » des données de la base de données infectée via le backend.

De même, lorsque vous stockez des mots de passe hachés sans sel (c’est-à-dire lorsqu’ils ne bénéficient pas d’une protection cryptographique complète, ce qui les rend faciles à déchiffrer), les mots de passe peuvent également être exposés. Les mots de passe hachés et salés, en revanche, sont convertis en casse-têtes lors du stockage, des casse-têtes que seul le serveur sur lequel ils sont stockés sait interpréter. Mais lorsque les organisations utilisent un hachage de mauvaise qualité, les pirates peuvent facilement lire ces mots de passe lors d’une faille cryptographique.

Sur ce, examinons quelques exemples de failles cryptographiques.

Exemples de failles cryptographiques

Les failles cryptographiques ont causé la chute d’innombrables sites web et applications. Les victimes sont trop nombreuses pour être comptées, mais voici les plus marquantes d’entre elles :

Le scandale Exactis

Il y a moins de 4 ans, une très petite entreprise (<10 employés) de marketing et d’agrégation de données appelée Exactis a accidentellement exposé sa base de données contenant environ 340 millions d’enregistrements individuels. Que ce soit par manque d’expérience, négligence ou ignorance, les responsables avaient placé la base de données sur un serveur accessible au public. Cela signifie que n’importe qui (du moins, quiconque savait où chercher) pouvait accéder à ces données.

Les enregistrements exposés comprenaient des noms, numéros de téléphone, adresses e-mail et autres données sensibles de millions de citoyens américains. Et parce que ces informations étaient destinées à des fins de marketing très ciblées, elles étaient bien plus détaillées et personnelles que ce que les gens exposent habituellement lors d’une violation de données ordinaire.

L’incident Facebook

Oui, c’est bien le Facebook dont nous parlons ici. En 2019, avant la COVID, il a été révélé que plus de 540 millions d’enregistrements liés à des utilisateurs de Facebook avaient été accidentellement divulgués par deux développeurs d’applications Facebook tierces.

Ces applications, sans aucune intention malveillante, avaient publié les enregistrements en pleine vue sur le service cloud d’Amazon. Les enregistrements exposés comprenaient les noms de compte, identifiants, listes d’amis, photos, enregistrements de position et mots de passe des utilisateurs de Facebook.

Malheureusement, ce n’était ni la première ni la dernière fois que Facebook exposait des informations sensibles. Un mois auparavant, Facebook avait découvert que les mots de passe d’environ 600 millions d’utilisateurs étaient stockés en interne en texte clair pendant des mois. Quelques mois avant cela, ce même réseau social avait révélé que les données de millions d’utilisateurs avaient été collectées par la société de science des données Cambridge Analytica.

Comment prévenir une faille cryptographique

Cataloguer les données. Pour protéger les données des clients, les organisations devraient, que dis-je, doivent s’assurer qu’elles gardent un œil attentif sur toutes les données qu’elles stockent dans le(s) système(s). De plus, elles devraient également effectuer des audits réguliers. De cette façon, elles pourront toujours suivre les propriétaires, les emplacements, la sécurité et les mesures de gouvernance appliquées aux données stockées.

Évaluer les risques. Pour garantir la protection des données, les organisations doivent connaître les risques auxquels les données stockées pourraient être exposées et allouer leurs budgets et ressources en conséquence pour atténuer ces risques. Plus les données sont précieuses, plus le risque qu’elles subissent des dommages est élevé. Même les plus petites quantités de données sensibles peuvent avoir des conséquences considérables pour les personnes concernées.

Assurer une sécurité adéquate. Pour être en mesure d’éviter une faille cryptographique et d’en limiter l’impact sur les personnes concernées, les organisations doivent mettre en place des contrôles de sécurité suffisants.

Agir immédiatement. Pour garantir une réponse immédiate à une faille cryptographique, les organisations doivent mettre en place des mécanismes efficaces de réponse aux incidents.

Bien que les grandes organisations soient plus susceptibles d’être victimes d’exposition de données sensibles, les individus peuvent également y être vulnérables. La bonne nouvelle est qu’il existe plusieurs mesures de sécurité que vous pouvez prendre pour la prévenir :

  • Assurez-vous que chaque compte en ligne que vous gérez dispose d’un mot de passe unique et suffisamment complexe. Bien sûr, il peut être difficile de suivre un flux apparemment interminable de ces mots de passe, c’est pourquoi nous vous recommandons d’utiliser un gestionnaire de mots de passe.
  • Surveillez attentivement vos comptes financiers (y compris les applications de budget et de banque). Vérifiez ces comptes aussi fréquemment que possible pour repérer toute activité inhabituelle ou inconnue le plus rapidement possible. Certaines entreprises proposent des alertes d’activité (généralement par SMS et/ou e-mail). Vous ne pouvez pas vous tromper en les utilisant.
  • Gardez un œil tout aussi attentif sur votre rapport de crédit. Encore une fois, tant que vous le faites assez fréquemment, vous pourrez détecter toute tentative d’ouverture de nouvelle(s) carte(s) de crédit/débit ou de tout autre compte à votre nom. En fait, vous avez droit à un rapport de crédit gratuit par an auprès de chaque grande agence d’évaluation du crédit. Pour en savoir plus, consultez annualcreditreport.com.
  • Agissez immédiatement. Tout comme les grandes organisations, les particuliers peuvent également bénéficier d’une action immédiate en cas d’exposition de données sensibles. Lorsque vous repérez une activité suspecte, contactez immédiatement la partie concernée (généralement un établissement financier). Il en va de même dans les situations où quelqu’un vole vos informations lors d’une violation de données.
  • Utilisez uniquement des URL sécurisées. Vous êtes beaucoup moins susceptible d’exposer des données sensibles lorsque vous visitez des sites web réputés auxquels vous pouvez faire confiance. En général, ces sites commencent par https://, la lettre « s » étant l’élément clé. C’est doublement important lorsque vous saisissez des informations financières (numéro de carte de crédit, code de validation, etc.).
  • Utilisez des logiciels de sécurité de haut niveau. Équipé d’une suite logicielle robuste couvrant les logiciels malveillants et les virus, vous devriez être en mesure de résister à la plupart des menaces, y compris l’exposition des données.
  • Renseignez-vous sur les services de protection contre le vol d’identité et de surveillance du crédit. Les dommages causés par le vol d’identité peuvent prendre des mois à réparer. Dans cette optique, nous vous recommandons de vous renseigner sur les services de protection contre le vol d’identité et de surveillance du crédit. En les utilisant, vous serez moins vulnérable aux violations de données et aux failles cryptographiques.

En conclusion

Les failles cryptographiques occupent la 2e place du top 10 des risques de sécurité des applications web de l’OWASP, ce n’est donc pas une mince affaire. Des entreprises de toutes tailles ont été victimes d’exposition de données sensibles. Et le fait que le responsable de ces défaillances soit la négligence des entreprises elles-mêmes ne rend pas les choses moins douloureuses. Cela dit, si vous apprenez des erreurs des autres et faites preuve de prudence, il y a de fortes chances que vous puissiez éviter cet écueil.

Protégez vos données : La fiche récapitulative ultime pour prévenir les failles cryptographiques

Veuillez saisir votre adresse courriel professionnelle n'est pas un courriel professionnel
Cryptographic failure lead magnet