Une énorme fuite de plus de 16 milliards de données d’identification sur des plateformes comme Apple (NASDAQ:AAPL), Google (NASDAQ:GOOGL), et Facebook (NASDAQ:META) révèle des vulnérabilités critiques dans les systèmes centralisés de traitement des données, les experts mettant en garde contre le fait que de telles failles mettent en lumière la nécessité urgente de disposer d’architectures sécurisées et décentralisées pour protéger les identités des utilisateurs.
Les chercheurs en cybersécurité ont découvert l’une des plus grandes violations de données de l’histoire, avec plus de 16 milliards de données d’identification appartenant à des grandes plateformes, notamment Apple, Google, Facebook, GitHub et Telegram, exposées en ligne.
La violation de données signalée par Cybernews est le résultat de la découverte de 30 ensembles de données massifs cette année, chacun contenant de plusieurs dizaines de millions à 3,5 milliards d’enregistrements, accessibles via des dispositifs de stockage cloud ou des instances Elasticsearch mal configurées.
S’exprimant auprès de Benzinga, Ram Kumar, contributeur clé chez OpenLedger, a souligné les problèmes systémiques à l’origine de la faille : «Cette faille n’est pas simplement un échec en matière de cybersécurité, mais aussi un échec légal et structurel. Les plateformes centralisées qui collectent et cloisonnent des quantités massives de données d’utilisateurs créent des surfaces de responsabilité inacceptables. »
Kumar plaide pour un passage à des systèmes décentralisés utilisant des attributions à la chaîne, des identifiants chiffrés et des preuves de zéro connaissance pour atténuer de tels risques.
L’échelle de la violation – un seul ensemble de données contient 3,5 milliards d’enregistrements – souligne la menace croissante que font peser les logiciels de vol d’informations, des logiciels malveillants qui extraient des noms d’utilisateur, des mots de passe et des données de session des appareils infectés.
Ces données d’identification, souvent structurées sous forme de combinaisons URL-nom d’utilisateur-mot de passe, sont très précieuses pour les cybercriminels pour le phishing, le détournement de compte ou le ciblage de systèmes sans authentification à facteurs multiples (MAF).
Orest Gavryliak, directeur juridique chez 1inch Labs, a souligné le potentiel de la Web3 pour résoudre ces vulnérabilités.
« La Web3 offre une solution prometteuse : par conception, les plates-formes comme 1inch ne stockent pas les données d’identification des utilisateurs, ce qui minimise l’impact de ce type de failles », a déclaré Gavryliak à Benzinga.
Il a souligné l’importance des identités contrôlées par l’utilisateur via des portefeuilles sans garde, mais a exhorté à la collaboration avec les régulateurs pour équilibrer la vie privée et la responsabilité.
Brandon Ferrick, avocat général chez Douro Labs, a décrit des remèdes immédiats en déclarant que « les entreprises peuvent offrir des solutions telles que des gestionnaires de mots de passe gratuits, une protection d’identité, un suivi de crédit, ainsi que de signaler aux autorités de surveillance de telles violations importantes ».
Il a appelé à la transparence et à des mesures de sécurité renforcées telles que le cryptage régulier et l’authentification multi-facteurs pour éviter de futures violations.
Notant les implications juridiques, Anja Blaj Zajc, responsable juridique chez la Fondation Apex Fusion, a déclaré à Benzinga que les réglementations sur la protection des données du monde entier exigent déjà que les entreprises informent à la fois les personnes concernées et les autorités de surveillance compétentes, notamment lorsque la violation est susceptible de présenter un risque élevé pour les droits et libertés des personnes.
Elle a souligné des mesures proactives telles que l’adoption de protocoles de réponse aux incidents robustes et l’adoption de technologies décentralisées telles que les identités décentralisées (DID) et les preuves de zéro connaissance pour renforcer la sécurité.
Les ensembles de données, certains étant étiquetés pour indiquer des sources comme Telegram ou des origines russes, sont souvent exploités par des acteurs de la menace, amplifiant les risques même si seule une fraction des données d’identification est utilisée avec succès.
Les chercheurs notent que, bien que certaines données puissent se chevaucher, le simple volume, d’en moyenne 550 millions d’enregistrements par ensemble de données, fait de cette question un problème critique.
L’exposition des données d’identification provenant de portails gouvernementaux et de systèmes d’entreprise accroît encore les enjeux.
Les experts exhortent les utilisateurs à mettre à jour leurs mots de passe immédiatement, à utiliser des mots de passe complexes, à activer l’authentification multifactorielle et à scanner leurs appareils à la recherche de logiciels malveillants.
Ils soulignent que les architectures centralisées Web2 sont de plus en plus insoutenables, plaidant en faveur de solutions Web3 pour redéfinir la sécurité de l’identité numérique.
Read Next:
Photo : TippaPatt / Shutterstock