Violation de données

Une violation de données est un événement de cybersécurité par lequel des pirates obtiennent un accès non autorisé à des informations privées, sensibles et confidentielles. Les violations de données affectent les individus avec des fuites de données personnelles (numéros de sécurité sociale, numéros de compte bancaire, informations de carte de crédit, etc.) ainsi que les entreprises qui subissent des fuites de données clients et de propriété intellectuelle.

Lisez-en plus sur la violation de données ci-dessous, y compris les dernières nouvelles. Si vous êtes victime de la récente violation de données, consultez notre scanner d'empreinte numérique et outil de surveillance pour voir quelles informations ont été exposées.

SCAN DE L'EMPREINTE NUMÉRIQUE

Points clés à retenir

  • On parle de violation de données lorsque des informations sensibles ou confidentielles sont consultées ou divulguées sans autorisation.
  • Les violations de sécurité surviennent à la suite d'exploits, d'injections SQL, de logiciels espions, d'hameçonnage et de contrôles d'accès mal configurés, ce qui permet aux pirates de voler des données.
  • Les données volées comprennent souvent des mots de passe, des informations personnelles et des données financières, que les criminels peuvent déchiffrer si un algorithme de hachage faible (comme SHA-1) est utilisé.
  • Les données exposées sont généralement vendues ou échangées sur le Dark Web, ce qui favorise les escroqueries, le chantage et les attaques par « credential stuffing ».
  • Même les « anciennes » données volées conservent leur valeur, car elles permettent de mener des attaques de phishing, des escroqueries par sextorsion et des prises de contrôle de comptes lorsque les utilisateurs réutilisent leurs mots de passe.

Donnez-nous votre avis sur BizChat

Qu'est-ce qu'une violation de données ?

Une violation de données est un incident qui entraîne l'exposition non autorisée d'informations confidentielles, privées, protégées ou sensibles. Ces violations peuvent être accidentelles ou intentionnelles et impliquer des attaquants externes ou des personnes internes à l'organisation. Les informations volées peuvent être exploitées à des fins financières ou utilisées dans d'autres attaques, ce qui fait des violations de données une menace importante pour les particuliers et les entreprises.

Une fuite de données résulte d'une cyberattaque qui permet aux cybercriminels d'accéder de manière non autorisée à un système informatique ou réseau et de voler les données privées, sensibles ou confidentielles des clients ou utilisateurs contenues dans le système.

Comment se produisent les fuites de données ?

Un exploit est un type d'attaque qui tire parti des bugs ou vulnérabilités des logiciels, que les cybercriminels utilisent pour obtenir un accès non autorisé à un système et à ses données. Ces vulnérabilités sont cachées dans le code du système et c'est une course entre les criminels et les chercheurs en cybersécurité pour voir qui les trouvera en premier.

Les criminels, d’un côté, cherchent à exploiter les failles tandis que les chercheurs, inversement, veulent les signaler aux fabricants de logiciels pour corriger ces bugs. Les logiciels communément exploités incluent les systèmes d'exploitation eux-mêmes, les navigateurs Internet, les applications Adobe et les applications Microsoft Office. Parfois, des groupes de cybercriminels assemblent plusieurs exploits dans des kits d'exploitation automatisés qui facilitent l'utilisation des failles aux criminels ayant peu ou pas de connaissances techniques.

Une injection SQL (SQLI) est un type d'attaque qui exploite les faiblesses des logiciels de gestion de base de données SQL sur des sites non sécurisés pour obtenir des informations qu'ils ne devraient pas divulguer. Voici comment ça fonctionne. Un cybercriminel introduit du code malveillant dans le champ de recherche d'un site de vente au détail, par exemple, où les clients saisissent normalement des recherches comme 'casques sans fil les mieux notés' ou 'sneakers les plus vendus'.

Au lieu de revenir avec une liste de casques ou de baskets, le site web donnera au pirate une liste de clients et leurs numéros de carte de crédit. L'injection SQL (SQLI) est l'une des attaques les moins sophistiquées à réaliser, nécessitant un minimum de connaissances techniques. Malwarebytes Labs a classé l'injection SQL comme numéro trois parmi les 5 menaces cyber les plus bêtes qui fonctionnent quand même. Les attaquants peuvent même utiliser des programmes automatisés pour effectuer l'attaque à leur place. Tout ce qu'ils ont à faire est de saisir l'URL du site cible puis de s'asseoir et de se détendre pendant que le logiciel fait le reste.

Le spyware est un type de malware qui infecte votre ordinateur ou réseau et vole des informations sur vous, votre utilisation d'Internet, ainsi que toute autre donnée précieuse accessible. Vous pourriez installer un spyware à cause d'un téléchargement apparemment anodin (surnommé bundleware). Sinon, le spyware peut infecter votre ordinateur en tant qu'infection secondaire via un Trojan comme Emotet.

Comme indiqué sur le blog de Malwarebytes Labs, Emotet, TrickBot et d'autres chevaux de Troie bancaires ont trouvé une nouvelle vie en tant qu'outils de livraison pour les logiciels espions et autres types de malwares. Une fois que votre système est infecté, le logiciel espion renvoie toutes vos données personnelles aux serveurs de commande et de contrôle (C&C) gérés par les cybercriminels.

Les attaques de phishing fonctionnent en nous amenant à partager des informations sensibles comme nos noms d'utilisateur et mots de passe, souvent contre toute logique, en utilisant l'ingénierie sociale pour manipuler nos émotions, comme la cupidité ou la peur. Une attaque classique de phishing commence par un email spoofer, ou truqué, pour ressembler à celui d'une entreprise avec laquelle vous faites affaire ou d'un collègue de confiance. Cet email contient un langage agressif ou pressant et nécessite une action comme vérifier des paiements ou des achats que vous n'avez jamais faits.

Cliquer sur le lien fourni vous redirigera vers une page de connexion malveillante conçue pour capturer votre nom d'utilisateur et mot de passe. Si vous n'avez pas activé l'authentification multi-facteurs (MFA), les cybercriminels auront tout ce dont ils ont besoin pour pirater votre compte. Tandis que les emails sont la forme la plus courante de phishing, les SMS et les systèmes de messagerie sur les réseaux sociaux sont également populaires auprès des escrocs.

Les contrôles d'accès cassés ou mal configurés peuvent rendre publiques certaines parties privées d'un site web lorsqu'elles ne devraient pas l'être. Par exemple, l'administrateur d'un site de vente de vêtements en ligne rendra certains dossiers internes du site privés, c'est-à-dire les dossiers contenant des données sensibles sur les clients et leurs informations de paiement. Cependant, il se peut que l'administrateur oublie de rendre le sous-dossier associé privé également.

Bien que ces sous-dossiers puissent ne pas être apparents pour l'utilisateur moyen, un cybercriminel utilisant quelques recherches Google bien menées pourrait trouver ces dossiers mal configurés et voler les données qu'ils contiennent. Comme un cambrioleur entrant directement dans une maison par une fenêtre ouverte, il ne faut pas beaucoup de compétences pour réussir ce genre de cyberattaque.

Mes données volées sont-elles cryptées ?

Après une violation de données, les entreprises concernées essaieront de calmer la peur et l'indignation de leurs clients en disant quelque chose dans le genre « Oui, les criminels ont obtenu vos mots de passe, mais vos mots de passe sont chiffrés. » Ce n'est pas très rassurant et voici pourquoi. De nombreuses entreprises utilisent la forme la plus basique de chiffrement de mot de passe possible : le hachage SHA1 non salé.

Hachage et sel ? On dirait une délicieuse façon de commencer la journée. Mais lorsqu'il s'agit du chiffrement de mot de passe, ce n'est pas génial. Un mot de passe chiffré via SHA1 chiffrera toujours en la même chaîne de caractères, ce qui les rend faciles à deviner. Par exemple, « password » hachera toujours comme

“5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8” et “123456” donneront toujours le hachage “7c4a8d09ca3762af61e59520943dc26494f8941b.”

Cela ne devrait pas être un problème, car ce sont les deux pires mots de passe possibles et personne ne devrait jamais les utiliser. Pourtant, des gens le font. La liste annuelle des mots de passe les plus communs de SplashData montre que les gens ne sont pas aussi créatifs qu'ils le devraient avec leurs mots de passe. En tête de liste depuis cinq ans : “123456” et “password”. Bravo tout le monde.

Avec cela à l'esprit, les cybercriminels peuvent vérifier une liste de mots de passe volés, hachés par rapport à une liste de mots de passe hachés connus. Avec les mots de passe décryptés et les noms d'utilisateur ou adresses email correspondants, les cybercriminels ont tout ce dont ils ont besoin pour pirater votre compte.

Que se passe-t-il lorsque vos données sont exposées lors d'une violation de données ?

Les données volées finissent généralement sur le Dark Web. Comme son nom l'indique, le Dark Web est cette partie d'Internet que la plupart des gens ne voient jamais. Le Dark Web n'est pas indexé par les moteurs de recherche et vous avez besoin d'un type de navigateur spécial appelé Tor Browser pour le voir. Alors, qu'est-ce qui se cache derrière tout ça ?

Dans la plupart des cas, les criminels utilisent le Dark Web pour trafiquer divers biens illégaux. Ces marchés du Dark Web ressemblent beaucoup à vos sites de shopping en ligne typiques, mais la familiarité de l'expérience utilisateur masque la nature illicite des produits proposés. Les cybercriminels achètent et vendent des drogues illégales, armes, pornographie et vos données personnelles. Les places de marché spécialisées dans les gros lots d'informations personnelles collectées lors de diverses fuites de données sont connues, dans le jargon criminel, sous le nom de dépôts.

Le plus grand assemblage connu de données volées trouvé en ligne, soit 87 Go, a été découvert en janvier 2019 par le chercheur en cybersécurité Troy Hunt, créateur de Have I Been Pwned (HIBP), un site qui vous permet de vérifier si votre courrier électronique a été compromis dans une violation de données. Les données, connues sous le nom de Collection 1, comprenaient 773 millions de courriels et 21 millions de mots de passe provenant d'un ensemble de violations de données connues. Quelque 140 millions de courriels et 10 millions de mots de passe étaient toutefois nouveaux pour le HIBP, car ils n'avaient pas été inclus dans une violation de données précédemment divulguée.

Brian Krebs, auteur et journaliste d'investigation spécialisé dans la cybersécurité, a découvert, en s'entretenant avec le cybercriminel responsable de la Collection 1, que toutes les données contenues dans la décharge dataient de deux à trois ans - au moins.

Les données périmées provenant d'une ancienne violation ont-elles une valeur (au-delà des 0,000002 cents par mot de passe que Collection 1 vendait) ? Oui, beaucoup.

Les cybercriminels peuvent utiliser votre ancien identifiant pour vous faire croire que votre compte a été piraté. Cette escroquerie peut s'inscrire dans le cadre d'une attaque par hameçonnage ou, comme nous l'avons signalé en 2018, d'une escroquerie par sextorsion. Les escrocs qui pratiquent la sextorsion envoient désormais des courriels dans lesquels ils prétendent avoir piraté la webcam de la victime et l'avoir enregistrée en train de regarder du porno. Pour donner un peu de légitimité à leur menace, les escrocs incluent dans leurs courriels des identifiants de connexion provenant d'une ancienne atteinte à la protection des données. Conseil de pro : si les escrocs avaient une vidéo de vous, ils vous la montreraient.

Si vous réutilisez vos mots de passe d'un site à l'autre, vous vous exposez à des dangers. Les cybercriminels peuvent également utiliser votre identifiant volé sur un site pour pirater votre compte sur un autre site, dans le cadre d'une cyberattaque connue sous le nom de " credential stuffing" (bourrage d'identifiants). Les criminels utilisent une liste d'adresses électroniques, de noms d'utilisateur et de mots de passe obtenus à la suite d'une violation de données pour envoyer des demandes de connexion automatisées à d'autres sites populaires, dans un cycle sans fin de piratage, de vol et de piratage encore.

Quelles sont les plus grandes failles de sécurité de données ?

C'est le compte à rebours des dix plus grandes violations de données que personne ne veut connaître. Voici notre liste des 10 plus grandes violations de données de tous les temps. Vous pourrez peut-être deviner la plupart des entreprises figurant sur cette liste, mais il se peut qu'il y ait aussi quelques surprises.

Under Armour : environ 193 millions d'enregistrements exposés (novembre 2025)

En 2025, Under Armour a été victime d'une gigantesque cyberattaque par ransomware, au cours de laquelle le groupe Everest a affirmé avoir accédé à 343 Go de données internes et de données clients. Près de 193 millions d'enregistrements clients — comprenant des adresses e-mail, des noms complets, des numéros de téléphone et des données de localisation — ont ensuite été divulgués en ligne après que les demandes de rançon n'ont pas été satisfaites.

Autres violations notables :

LinkedIn: 117 millions

Lors de cette violation de données survenue en 2012, des cybercriminels ont dérobé les adresses e-mail et les mots de passe cryptés de 117 millions LinkedIn . Les mots de passe étaient cryptés, n'est-ce pas ? Pas de quoi s'inquiéter. Malheureusement, LinkedIn ce maudit chiffrement SHA-1 dont chiffrement avons parlé plus tôt. Et si vous avez le moindre doute quant au fait que vos mots de passe volés soient en train d'être décryptés, Malwarebytes Labs a signalé que LinkedIn piratés étaient utilisés dans une campagne de phishing par InMail.

Ces messages InMail contenaient des URL malveillants qui renvoyaient à un site web usurpé pour ressembler à une page de connexion à Google Docs par laquelle les cybercriminels récoltaient les noms d'utilisateur et les mots de passe de Google. C'est toujours mieux que le travail temporaire de creusement de fossés que les recruteurs vous envoient sans cesse.

eBay : 145 millions

Equifax : 145,5 millions


La société d'évaluation du crédit Equifax a vu sa propre « cote de crédit » sérieusement entachée, du moins aux yeux des consommateurs américains, lorsqu'elle a annoncé avoir été victime d'une fuite de données en 2017. Tout cela aurait pu être évité si Equifax avait simplement mis à jour ses logiciels. Au lieu de cela, hackers pu exploiter une faille logicielle bien connue pour s'introduire dans le logiciel sous-jacent qui fait fonctionner le site web d'Equifax.

Ce qui rend la violation de données d'Equifax si terrible n'est pas sa taille, bien que considérable ; c'est plutôt la valeur des informations volées. Les auteurs sont partis avec les noms, dates de naissance, numéros de sécurité sociale, adresses et numéros de permis de conduire de 145,5 millions d'Américains. Ajoutez à cela environ 200 000 numéros de carte de crédit et vous obtenez l'une des pires violations de données en termes de sensibilité des données compromises.

Yahoo : 3B


Yahoo détient le triste record d'être la seule entreprise à figurer deux fois dans notre classement des plus importantes fuites de données. Pour comble de malheur, Yahoo occupe également la première place. En août 2013, des cybercriminels ont dérobé les données de tous les utilisateurs de Yahoo à travers le monde, soit trois milliards de personnes. L'ampleur même de cette fuite de données est difficile à imaginer.

Plus d'un tiers de la population mondiale a été touché. Lorsque l'attaque a été révélée pour la première fois en 2016, Yahoo a affirmé que seul un milliard de ses utilisateurs avaient été touchés par la violation de données, avant de changer ce chiffre pour "tous les comptes d'utilisateurs Yahoo" moins d'un an plus tard. Le timing n'aurait pas pu être plus mauvais. Au moment où Yahoo a révélé les chiffres actualisés de la violation de données, l'entreprise était en négociation pour être rachetée par Verizon. La nouvelle de la violation de données a permis à Verizon de s'emparer de Yahoo à un prix défiant toute concurrence. Yahoo a été racheté par Verizon en 2017.

Découvrez ici notre article sur la « Mother of All Breaches ».

Législation sur les fuites de données

Il semble qu'à chaque cycle d'actualité, nous apprenions l'existence d'une nouvelle violation de données. Les violations de données sont-elles de plus en plus fréquentes ou se passe-t-il quelque chose d'autre ? L'une des raisons possibles de l'augmentation des violations de données (ou du moins de l'apparence d'une augmentation) est la réglementation croissante concernant la manière dont nous communiquons sur les violations de données.

Depuis le début du millénaire, les gouvernements du monde entier ont mis en place des lois qui obligent les entreprises et les organisations à divulguer des informations après avoir été victimes d'une violation de données. Alors que dans le passé, les parties compromises pouvaient s'asseoir sur la connaissance d'une violation de données aussi longtemps qu'elles le souhaitaient, aujourd'hui, la loi exige que les entreprises et les organisations divulguent des informations sur les violations de données.

Aux États-Unis, il n'existe pas de loi nationale régissant la divulgation des violations de données. Toutefois, en 2018, les 50 États américains ont tous adopté des lois sur les violations de données. Ces lois varient d'un État à l'autre, mais il existe des points communs. En particulier, toute organisation victime d'une violation de données doit prendre les mesures suivantes :

  • Informez les personnes concernées par la violation de données de ce qui s'est passé dès que possible.
  • Informer le gouvernement dès que possible, ce qui signifie généralement informer le procureur général de l'État.
  • Payer une amende.

À titre d'exemple, la Californie a été le premier État à réglementer les divulgations de violation de données en 2003. Les personnes ou entreprises au centre d'une violation de données doivent notifier les personnes concernées « sans délai raisonnable » et « immédiatement après la découverte ». Les victimes peuvent poursuivre pour une indemnisation allant jusqu'à 750 $, tandis que le procureur général de l'État peut imposer des amendes allant jusqu'à 7 500 $ pour chaque victime.

Des lois similaires ont été adoptées dans l'Union européenne et dans toute la région Asie-Pacifique. Facebook est la première grande entreprise technologique à enfreindre prétendument le Règlement général sur la protection des données (RGPD) de l'UE après avoir annoncé qu'un bug logiciel avait donné aux développeurs d'applications un accès non autorisé aux photos des utilisateurs pour 6,8 millions d'utilisateurs. Facebook n'a pas signalé la violation pendant deux mois — environ 57 jours de retard, selon le RGPD. En conséquence, l'entreprise pourrait devoir payer jusqu'à 1,6 milliard de dollars d'amendes.

Que faire si vos données sont exposées lors d'une violation de données ?

Même si vous n'avez jamais utilisé l'un des sites et services figurant sur notre liste des plus grandes violations de données, il existe des centaines de petites violations de données que nous n'avons pas mentionnées. Avant de passer à nos étapes pour répondre à une violation de données, vous pouvez visiter Have I Been Pwned et voir par vous-même. Tout ce que vous avez à faire est d'entrer votre adresse email dans la case de recherche « pwned ? » et de regarder avec horreur comment le site vous informe de toutes les violations de données dans lesquelles vous avez été pwned.

Il convient également de noter que vos données peuvent faire partie d'une violation dont le grand public n'est pas encore informé. Souvent, une violation de données ne sera découverte que des années plus tard.

D'une manière ou d'une autre, il y a de grandes chances que vos données aient été compromises et il est très probable qu'elles le soient à nouveau.

Maintenant que vous savez que vos données circulent quelque part sur le Dark Web, nous avons créé cette liste étape par étape de ce qu'il faut faire lorsque vos données sont volées.

  1. Effectuez un scan de votre empreinte numérique gratuit simplement en utilisant votre adresse e-mail.
  2. Réinitialisez votre mot de passe pour le compte compromis et tout autre compte partageant le même mot de passe. Vraiment, vous ne devriez pas réutiliser vos mots de passe sur différents sites. Utilisez notre générateur de mots de passe gratuit pour créer des mots de passe forts et uniques. Les gestionnaires de mots de passe ont l'avantage supplémentaire de vous alerter lorsque vous atterrissez sur un site de phishing. Bien que cette page de connexion pour Google ou Facebook puisse sembler réelle, votre gestionnaire de mots de passe ne reconnaîtra pas l'URL et ne remplira pas automatiquement votre nom d'utilisateur et votre mot de passe.
  3. Surveillez vos comptes de crédit. Recherchez toute activité suspecte. Rappelez-vous que vous obtenez un rapport de crédit gratuit, un de chacun des trois grands bureaux de crédit, chaque année sur annualcreditreport.com. C'est le seul site autorisé par la Commission fédérale du commerce des États-Unis pour obtenir des rapports de crédit gratuits.
  4. Envisagez un gel de crédit. Un gel de crédit rend plus difficile l'ouverture d'une ligne de crédit à votre nom en restreignant l'accès à votre rapport de crédit. Vous pouvez lever ou arrêter le gel à tout moment. Le seul inconvénient est que vous devez contacter chaque bureau de crédit individuellement pour instaurer ou lever un gel.
  5. Surveillez attentivement votre boîte de réception. Les cybercriminels opportunistes savent que des millions de victimes de toute violation de données attendent une sorte de communication concernant des comptes piratés. Ces escrocs profiteront de l'occasion pour envoyer des e-mails de phishing usurpés pour sembler provenir de ces comptes piratés afin de vous inciter à divulguer des informations personnelles. Lisez nos conseils sur la façon de repérer un e-mail de phishing.
  6. Envisagez des services de surveillance du crédit. Devez-vous vous inscrire ? Souvent, après une violation de données, les entreprises et les organisations concernées offriront aux victimes des services de surveillance du vol d'identité gratuits. Il convient de noter que des services comme LifeLock, etc., vous informeront si quelqu'un ouvre une ligne de crédit à votre nom, mais ils ne peuvent pas protéger vos données d'être volées en premier lieu. En bref, si le service est gratuit, inscrivez-vous. Sinon, réfléchissez bien.
  7. Utilisez l'authentification multi-facteurs (MFA). L'authentification à deux facteurs est la forme la plus simple de MFA, ce qui signifie que vous avez besoin de votre mot de passe et d'une autre forme d'authentification pour prouver que vous êtes bien vous et non un cybercriminel tentant de pirater votre compte. Par exemple, un site web pourrait vous demander d'entrer vos identifiants de connexion et un code d'authentification distinct envoyé par texto sur votre téléphone.

Comment puis-je prévenir les fuites de données ?

Les amendes, les coûts de nettoyage, les frais juridiques, les poursuites judiciaires, et même les paiements de ransomware associés à une violation de données s'accumulent pour représenter beaucoup d'argent. L'étude Coût d'une violation de données de Ponemon 2018 a révélé que le coût moyen d'une violation de données était d'environ 3,9 millions de dollars, soit une augmentation de 6,4 % par rapport à l'année précédente. Alors que le coût pour chaque dossier volé s'élevait à 148 $, soit une augmentation de 4,8 % par rapport à l'année précédente. Selon la même étude, vos chances de vivre une violation de données sont aussi élevées qu'une sur quatre.

N'est-ce pas logique d'être proactif en matière de sécurité des données et d'éviter une violation en premier lieu ? Si vous avez répondu oui, et nous espérons que vous l'avez fait, voici quelques bonnes pratiques pour aider à protéger votre entreprise et vos données.

Pratiquez la segmentation des données. Sur un réseau de données plat, les cybercriminels sont libres de se déplacer dans votre réseau et de voler chaque octet de données précieuses. En mettant en œuvre la segmentation des données, vous ralentissez les criminels, gagnant du temps supplémentaire pendant une attaque, et limitant les données compromises. La segmentation des données aide également avec notre prochain conseil.

Appliquez le principe du moindre privilège (PolP). PolP signifie que chaque compte utilisateur n'a que suffisamment d'accès pour faire son travail et rien de plus. Si un compte utilisateur est compromis, les cybercriminels n'auront pas accès à l'ensemble de votre réseau.

Investissez dans un logiciel de protection contre le vol d'identité. Nous surveillerons l'exposition de votre identité et vous alerterons de tout risque.

Installez une protection de cybersécurité réputée, telle que Malwarebytes Premium. Si vous avez le malheur de cliquer sur un lien malveillant ou d'ouvrir une pièce jointe douteuse, un bon programme de cybersécurité sera capable de détecter la menace, d'arrêter le téléchargement et d'empêcher les malwares de pénétrer votre réseau.

SSN sur le Dark Web

Phishing

Ingénierie sociale

FAQ

Qu'est-ce qu'une violation de données ?

Comment se produisent les fuites de données ?

Quels types d'informations sont volés lors de fuites de données ?

Qu'advient-il de mes données après une violation de sécurité ?