Toutes les entreprises technologiques vous disent que vos données sont en sécurité. Elles ont (en principe) chiffrement Contrôles d'accès, architectures zéro confiance… tout le tralala de la sécurité. Et puis, malgré tout, quelqu'un de l'intérieur écrit un script pour voler vos photos privées.
Un ancien employé de Meta basé à Londres fait l'objet d'une enquête pénale pour avoir téléchargé environ 30 000 images privées appartenant à des personnes non identifiées. Facebook utilisateurs. L'unité de lutte contre la cybercriminalité de la police métropolitaine est chargée de l'affaire.
D'après les documents judiciaires, l'accusé ne s'est pas contenté de naviguer sur le site ; il a créé un script personnalisé conçu pour contourner les systèmes de détection internes de Meta.
Réponse de Meta
Meta affirme avoir découvert la faille il y a plus d'un an, avoir licencié la personne concernée, averti les utilisateurs touchés et avoir saisi les autorités britanniques. Le suspect est actuellement en liberté sous caution et devra se présenter à la police en mai.
Le bilan de Meta en matière de protection des données est loin d'être irréprochable. L'entreprise a accepté de verser 725 millions de dollars en 2022 pour mettre fin à un recours collectif lié au scandale Cambridge Analytica, dans lequel des développeurs tiers avaient collecté les données de millions de personnes. Facebook Des histoires continuent de faire surface concernant Meta, qui nous font réfléchir quant à la protection de la vie privée et à la sécurité des utilisateurs. Par exemple, Facebook Les ingénieurs ont admis qu'ils ignoraient même où étaient stockées les données des utilisateurs.
Initiés véreux
Ce genre de choses se produit régulièrement. FinWise Bank a révélé l'an dernier qu'un ancien employé avait potentiellement accédé aux données de 689 000 clients. Cette faille de sécurité est restée indétectée pendant plus d'un an. Coinbase a également révélé que des employés du service client travaillant à l'étranger avaient été corrompus pour voler les données de près de 70 000 clients. Même des employés d' entreprises de réparation électronique ont tendance à fouiller dans les données des clients de manière abusive.
Qu’est-ce qui pousse les employés à franchir la ligne rouge ? Les recherches sur la psychologie des menaces internes ont montré que de nombreux incidents documentés impliquent des employés occupant des postes techniques, tels que des administrateurs système, des opérateurs de bases de données et des programmeurs. Cela se comprend aisément, car ils disposent généralement des accès et des compétences nécessaires pour passer inaperçus.
Les motivations varient, allant du gain financier à la vengeance personnelle (comme dans le cas de cet employé de supermarché qui a divulgué des données confidentielles du personnel ) ou au voyeurisme (comme dans le cas de cet ingénieur de Yahoo qui a accédé à des photos de femmes nues, y compris celles de femmes qu'il connaissait personnellement). Les employés commettent souvent ces délits après avoir quitté l'entreprise , si les administrateurs sont laxistes quant à la révocation des accès au système.
Comment se protéger
Les entreprises vous diront qu'elles prennent la protection de la vie privée au sérieux, et beaucoup le font.
Les mesures de défense classiques mises en place par les entreprises contre les menaces internes sont bien connues : contrôle d’accès au moindre privilège, authentification multifacteurs, surveillance continue du comportement des utilisateurs et audits de sécurité réguliers. Cependant, l’affaire Meta montre qu’une personne suffisamment déterminée et compétente techniquement pour développer ses propres outils peut parfois contourner ces défenses.
Que peuvent faire les utilisateurs ?
Stockez vos données les plus sensibles (comme vos photos privées) dans un environnement sécurisé et protégé par mot de passe. Si un service n'offre pas de contrôles stricts, il est important de vous demander si vous êtes à l'aise avec la confiance que vous accordez à toutes les personnes susceptibles d'y avoir accès.
Découvrez comment réduire votre empreinte numérique et limiter les informations que les escrocs et les extorqueurs peuvent utiliser contre vous.
Les escrocs n'ont pas besoin de pirater votre ordinateur. Il leur suffit que vous cliquiez une seule fois.
Theft Identity Malwarebytes détecte les activités suspectes avant qu'elles ne posent problème.
