Les cyberattaques sont notre nouvelle réalité. Il semble parfois qu’il est impossible d’y échapper, quelles que soient les applications et les sites Web que vous utilisez. Il y a quelques années à peine, il semblait choquant de lire la nouvelle d’une violation de la sécurité d’un grand site. Ce n’est plus choquant et c’est presque “ho-hum”.
Cette fois, c’est Dell.com qui a été piraté. Le magasin d’électronique en ligne a été touché plus tôt ce mois-ci. Ils ont découvert des pirates essayant de voler les données des clients et cinq jours plus tard, ils ont réinitialisé les mots de passe de tous les comptes clients.
Une personne familière avec la violation prétend que Deal n’a pas dit aux clients que le site Web avait été cyber-attaqué et que les pirates étaient après leurs données lorsqu’ils ont réinitialisé tous leurs mots de passe.
Dans un communiqué, la société a déclaré que le 9 novembre, elle avait découvert que des pirates avaient piraté Dell.com pour voler les données des clients. Les pirates étaient à la recherche de noms de clients, d’adresses e-mail et de mots de passe, mais ceux-ci ont été brouillés. Les informations de paiement et les numéros de sécurité sociale n’ont pas été ciblés.
Dell les a arrêtés et n’a trouvé aucune preuve de leur succès, mais n’exclut pas que certaines données aient été volées.
En raison de toutes les entreprises qui ont été confrontées au vol de données client, les régulateurs du monde entier tentent de faire en sorte que le vol de données client soit rapidement divulgué à leur clientèle.
C’est toute la base du RGPD de l’Union européenne qui a été mis en œuvre en mai dernier et c’est pourquoi les sanctions sont si sévères. Les contrevenants aux nouvelles règles pourraient être passibles d’amendes allant jusqu’à vingt millions d’euros ou quatre pour cent de leurs revenus mondiaux, selon le plus élevé des deux nombres.
Malgré cela, Dell ne pense pas qu’il y avait d’exigences réglementaires ou légales pour divulguer leur violation de données, mais ils ont quand même décidé de se manifester “avec la confiance du client à l’esprit”, selon une source.
Dell a immédiatement signalé l’incident aux autorités.
Alors que Dell semble avoir fait tout ce qu’il pouvait faire, la situation dans son ensemble laisse un sentiment décevant. Cela ne devrait pas nous laisser dire : « Oh, c’est reparti. » Cela devrait nous choquer qu’une telle chose puisse arriver.
Et que cela arrive à une entreprise technologique, cela semble particulièrement choquant. Il semblerait qu’ils auraient de meilleures mesures préventives en place.
Mais la bonne nouvelle est qu’ils l’ont signalé tout de suite malgré le fait qu’il semble que rien n’ait été pris, contrairement à d’autres organisations qui essaient de le cacher. Bien qu’il soit un peu surprenant qu’il y ait des rapports, les mots de passe ont été modifiés sans même alerter les clients.
Avez-vous un compte avec Dell.com ? Cela a-t-il affecté vos données ? Cela vous inquiète-t-il même si vous n’avez pas de compte sur Dell.com ? Faites-nous savoir ce que vous pensez du piratage de Dell.com et de la situation dans laquelle de nombreuses entreprises se trouvent confrontées à des violations de données.
Recevez les mises à jour de nos derniers tutoriels.
Laura a passé près de 20 ans à rédiger des actualités, des critiques et des éditoriaux, dont plus de 10 ans en tant que rédactrice. Elle a utilisé exclusivement des produits Apple au cours des trois dernières décennies. En plus d’écrire et d’éditer chez MTE, elle dirige également le programme de révision parrainé du site.
« Il y a quelques années à peine, il semblait choquant de lire la nouvelle d’une violation de la sécurité d’un grand site. »
« Alors que Dell semble avoir fait tout ce qu’il pouvait faire »
« Cela devrait nous choquer qu’une telle chose puisse arriver…….. Et que cela arrive à une entreprise de technologie, cela semble particulièrement choquant. »
« la situation dans laquelle il semble que tant d’entreprises se trouvent avec des violations de données »
Les grandes sociétés de logiciels incluant des portes dérobées et des logiciels espions dans leurs logiciels afin qu’ils puissent récolter les données des clients n’aident pas la cybersécurité. Les gouvernements qui insistent pour que des portes dérobées soient incluses dans les logiciels afin qu’ils puissent débusquer les terroristes n’aident pas et n’aideront pas la cybersécurité. Si Microsoft et Google, la NSA et le FBI peuvent utiliser les portes dérobées, tôt ou tard les pirates le pourront aussi. Donc, ne vous attendez pas à ce que les violations de données disparaissent de si tôt.
Et un autre mord la poussière !
Marriott vient d’annoncer une violation de données dans laquelle environ 500 millions d’enregistrements de sa base de données Starwood Hotels ont été compromis au cours des 4 dernières années. D’après ce que dit Marriott, il semble qu’il s’agisse d’un travail interne où quelqu’un a copié la base de données. Cela soulève une question : ne font-ils pas des audits de sécurité et des tests de résistance de sécurité réguliers ?
En guise de sanction, les entreprises devraient se voir imposer une amende de 1 000 $ par dossier compromis. Oui, cela serait draconien et forcerait certaines entreprises à la faillite. Cependant, une telle sanction inciterait fortement les entreprises à s’assurer que leur cybersécurité est aussi à jour que possible. Ce serait pour eux une simple décision commerciale, dépenser des millions ou des dizaines de millions de dollars pour maintenir la sécurité ou payer des centaines de millions ou des milliards de dollars de pénalités. Les sanctions actuelles, du moins aux États-Unis, ne sont rien de plus qu’une tape sur le poignet. Les pénalités coûtent moins cher aux entreprises qu’une sécurité à jour.
Une autre mesure qui inciterait les entreprises, ou du moins les conseils d’administration, serait quelque chose de similaire à la loi RICO. Les PDG et autres membres de la haute direction devraient être tenus responsables des actes et des faux pas de leurs subordonnés. À l’heure actuelle, chaque fois qu’une violation de la cybersécurité se produit, des corvées informatiques sans nom et sans visage sont jetées aux loups tandis que ceux qui ont formulé les politiques de sécurité s’en tirent sans scotche.
Les deux mesures que j’ai suggérées n’arrêteront pas les violations de données, mais elles devraient encourager les entreprises à faire de la cybersécurité, et non des profits, la PRIORITÉ #1.
Je pense que les grandes entreprises comme Marriott prennent des mesures de confidentialité. J’ai du mal à croire qu’ils joueraient avec ce genre de chose. Là encore, Marriott ne prend pas trop au sérieux la vie privée. Ce sont eux qui ont été poursuivis pour avoir donné au harceleur d’Erin Andrews son numéro de chambre et l’avoir laissé réserver la même chambre à côté d’elle, puis ne pas avoir remarqué qu’il avait percé un trou entre les chambres et pris des vidéos et des photos d’elle.
Parfois, je pense que si les pirates veulent frapper quelque chose assez durement, ils trouveront un moyen, quelles que soient les mesures de confidentialité.
“Je pense que les grandes entreprises comme Marriott prennent des mesures de confidentialité.”
« Je pense que si les pirates veulent frapper quelque chose assez durement, ils trouveront un moyen »
Concernant l’affaire Erin Andrews.
Pourquoi les RÉPONSES sont-elles publiées comme des commentaires originaux plutôt qu’en retrait sous la publication à laquelle vous répondez ? Est-ce un bug ou une fonctionnalité ?
Pas tout à fait sûr. Je suppose qu’il s’agit soit d’une mise à jour WordPress, soit d’un changement de thème lorsque notre rédacteur en chef l’a bricolé.
RE : Affaire Erin Andrews. Oui, je sais qu’ils ne peuvent pas faire grand-chose concernant quelqu’un qui perce un trou dans un mur, mais donner le numéro de chambre d’une personne célèbre, puis permettre à quelqu’un de réserver la chambre à côté d’eux est impardonnable. Mon fils travaille en tant que responsable des opérations pour un hôtel Marriott, et j’espère certainement qu’il saura mieux au moins moralement, s’il ne s’agit pas d’un problème juridique.
Le dicton dit « Si quelqu’un peut le construire ?… Quelqu’un d’autre peut le casser ». Cela est vrai pour tout ce que l’humanité a jamais conçu/construit/créé. etc. Le Titanic était la plus belle réalisation de l’homme, soi-disant « insubmersible », et il se trouve maintenant au fond de l’océan. Les deux navettes spatiales Challenger et Columbia qui étaient censées être les plus “avancées” jamais construites, se sont toutes deux désintégrées dans les airs, une au décollage et une à la rentrée. Il n’y a rien qui ne puisse être piraté à l’ère des cyber-mécontents. S’ils ont le temps (et en tant que pirate informatique qui se soucie de l’heure qu’il est dans le confort de leur sous-sol / grenier ?), et qu’ils ont les ressources (pas vraiment besoin de nos jours… une connexion Internet… un VPN ou une connexion cachée par le réseau Tor) et ils ont le savoir-faire (encore une fois… parcourez Internet et vous trouverez suffisamment d’informations pour pirater des gouvernements étrangers….Agences fédérales, établissements d’enseignement et hôpitaux.)….alors, qu’est-ce qui les empêche de poursuivre et réussir les méthodes d’intrusion contre les entreprises technologiques ? La réponse est : rien. Et plus les entreprises et les agences essaient de se battre, plus elles se font pirater. La seule VRAIE façon d’empêcher le piratage et les failles de sécurité ?… est la seule méthode que PERSONNE n’acceptera ou ne sanctionnera. C’est la méthode George Orwellian d’avoir chaque nœud, chaque point d’accès Wi-Fi et chaque connexion à Internet, enregistré et surveillé par des yeux qui voient tout. Et tandis que vous pourriez affirmer que nous sommes déjà « surveillés » par Big Brother ?… bien qu’ils puissent avoir des adresses IP et des points d’accès de colocation, ils n’ont pas la capacité de TOUT voir (ou alors comment quelqu’un pourrait-il en amasser deux / trois ans de pornographie juvénile ? Ne seraient-ils pas arrêtés à la minute où ils accéderaient à un site/un lien ? … et les gens qui obtiennent de faux visas et d’autres faux papiers en ligne ?) donc nous n’en sommes pas encore « là » . mais ce serait le SEUL moyen d’arrêter complètement les cyber-cambriolages et autres violations. Pour avoir dire…un bureau dans chaque pays, faisant la même chose….surveillant TOUT le trafic PARTOUT ! Je pense qu’ils assigneraient une machine pour faire la surveillance car les humains seraient susceptibles de « manquer » quelque chose… ou d’être « trompés » en pensant que le trafic qu’ils voient est légal et légitime, mais une machine pourrait déchiffrer les zéros et les uns et être en mesure d’identifier tout le trafic incriminé. Ce serait nul, parce que vous ne seriez pas en mesure de visiter des sites qui seraient considérés comme « contre le gouvernement » ou des forums où il y a des discours contre les dirigeants d’un pays, mais vous n’auriez certainement plus de cybercriminalité, car … à la minute où quelqu’un recherche « Techniques de piratage pour les nuls », il y aura un complément de Crown Victoria noires et de SUV qui vous attendront à votre retour à la maison.