John McStravick
Tout au long de l’année 2015, sur 3930 incidents recensés, plus de 736 millions d’enregistrements ont été exposés, affirment les analystes de DatalossDB. Que nenni ! rétorquent les statisticiens de Gemalto. Ce sont très exactement 707 509 815 enregistrements qui ont encouru des risques, et les intrusions n’ont pas excédé 1673 cas officiellement déclarés (46 d’entre elles comptant plus d’un million d’enregistrements).
DatalossDB dépend de l’Open Security Foundation, organisation à but non lucratif qui chapeaute également Open Source Vulnerability Database (OSVDB), mais qui confie la publication de cette étude à l’un de ses « partenaires » commerciaux, RiskBased Security. Gemalto est une entreprise de droit privé, premier fournisseur mondial de cartes à puces. Et malgré cette notable différence et ces éventuels conflits d’intérêt, force est de reconnaître que les chiffres sont assez proches les uns des autres. La barrière des 700 millions d’enregistrements compromis a largement été dépassée.
Si l’on en croît DatalossDB, 64% des incidents seraient le fruit non pas d’accidents involontaires mais de hackings caractérisés et que dans 77% des cas, les risques de fuites auraient été provoqués par des agents extérieurs à l’entreprise. Il n’a fallu que 4 hacks majeurs en 2015 pour compromettre près de 238 millions d’enregistrements, et 46 d’entre eux (chiffre strictement identique à celui estimé par Gemalto) exposait plus d’un million d’enregistrements chacun. Il faut avouer que le piratage des serveurs de l’ U.S. Office of Personnel Management (OPM) et ses 22 millions de fiches, les 43 millions d’identités de la Korean Pharmaceutical ou les 78 millions de dossiers ayant fuité des archives d’Anthem Insurance ont fortement contribué à cette inflation.
Au hit parade des pays les plus touchés, les USA (476 millions d’enregistrements), la Turquie (50 millions), la Corée du Sud (44 millions), le Canada (45 millions), la Fédération de Russie (26 millions), le Royaume Unis (21 millions) et l’Allemagne (13 millions).
Bien qu’arrivant en dixième place dans le nombre d’incidents déclarés, la France n’apparaît pas dans le top-ten de la sinistralité en termes de volume de données compromises, révèle le rapport d’OpendatalossDB. Rappelons que, quelle que soit l’étude concernée, les analyses ne portent que sur les chiffres publiés dans la presse. Or, en notre pays de France, les divulgations d’incidents de sécurité sont réservées aux seules oreilles de l’Anssi.
