L’ampleur réelle de la brèche MOVEit reste inconnue alors que de nouvelles victimes continuent de se manifester.
Affaire MOVEit : Dans un paysage marqué par des campagnes d’espionnage audacieuses et des attaques numériques de grande envergure contre des entreprises populaires, le plus grand piratage de 2023 n’est pas un incident isolé. Il s’agit plutôt d’une série d’attaques connexes qui ne cessent d’ajouter des victimes à leur bilan. Dans les mois à venir, des dizaines de millions de personnes pourraient découvrir que leurs informations sensibles ont été compromises. Beaucoup d’autres ne seront probablement jamais informés de la situation ou de son impact sur leur vie.
Une Vulnérabilité Exploitée en Masse
Depuis mai, l’exploitation massive d’une vulnérabilité dans le logiciel de transfert de fichiers largement utilisé, MOVEit, a permis à des cybercriminels de voler des données auprès d’une multitude d’entreprises et de gouvernements, y compris Shell, British Airways et le Département de l’énergie des États-Unis. Progress Software, propriétaire de MOVEit, a corrigé la faille fin mai, mettant fin à la frénésie. Cependant, le gang de l’extorsion de données “Clop” avait déjà orchestré une opération de pillage à grande échelle. Des mois plus tard, l’ampleur réelle des dégâts commence tout juste à être révélée.
Les Victimes Continuent de Se Manifester
La semaine dernière, le registre des naissances du gouvernement de l’Ontario, BORN Ontario, a annoncé avoir subi une attaque liée à MOVEit plus tôt cette année. Les pirates ont volé des données personnelles sensibles de 3,4 millions de personnes, dont 2 millions de bébés, ainsi que des futurs parents et des personnes cherchant des soins de fertilité. Les données de santé compromises datent de janvier 2010 à mai 2023.
Une Menace Persistante
Emily Austin, responsable de la recherche en sécurité et chercheuse senior chez Censys, souligne que la situation MOVEit est un véritable problème de sécurité de la chaîne d’approvisionnement logicielle. Les vulnérabilités existaient dans deux versions du service MOVEit : le service cloud connu sous le nom de MOVEit Cloud, et la version locale que les institutions exécutent elles-mêmes sur leurs propres sites, connue sous le nom de MOVEit Transfer.
Les Répercussions à Long Terme
Alors que les groupes cybercriminels font souvent la une des journaux pour des attaques de ransomware ou d’extorsion spectaculaires, le vol, la publication, l’extorsion et le commerce persistants et implacables des données sensibles des personnes peuvent ruiner des vies. Brett Callow, analyste des menaces chez Emsisoft, prévient que la lente divulgation des incidents liés à MOVEit “va continuer pendant des années”.
Liste des Données Piratées dans l’Affaire MOVEit
Données d’Entreprises et de Gouvernements
- Informations internes de Shell
- Données de British Airways
- Informations du Département de l’Énergie des États-Unis
Données du Registre des Naissances de l’Ontario (BORN Ontario)
- Données personnelles de 3,4 millions de personnes
- 2 millions de bébés
- Futurs parents
- Personnes cherchant des soins de fertilité
- Données de santé datant de janvier 2010 à mai 2023
Types de Données de Santé Compromises
- Résultats de tests de laboratoire
- Facteurs de risque de grossesse
- Procédures médicales
Données Personnelles Générales
- Noms
- Dates de naissance
- Numéros d’identification gouvernementaux (comme les numéros de sécurité sociale)
- Adresses
Autres Données Sensibles
- Détails sur des agressions sexuelles, des allégations de maltraitance d’enfants et des tentatives de suicide (dans le cas de piratages d’écoles)
- Dossiers de patients de prestataires de soins de santé mentale
Données d’Établissements d’Enseignement
- 890 collèges et universités aux États-Unis, y compris Harvard et Stanford, ont été impactés
Données d’Organisations Internationales
- Organisations en Allemagne, au Canada et au Royaume-Uni
Il est important de noter que cette liste n’est pas exhaustive et que l’ampleur totale du piratage n’est pas encore totalement connue.