IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une fuite des données de 33 millions d'employés américains


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2016
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mai 2016
    Messages : 701
    Points : 51 811
    Points
    51 811
    Par défaut Une fuite des données de 33 millions d'employés américains
    Le piratage d'une énorme base de données corporate
    cause une fuite des données personnelles de 33 millions d'employés américains

    Cette semaine, un article intéressant de Tim Berners-Lee a listé les 3 menaces urgentes du web, parmi lesquelles figure le manque de contrôle sur nos données personnelles. Ces données sont stockées dans des silos centralisés, ce qui ne manque pas d’attirer des pirates et des agences gouvernementales. « Quand nos données sont conservées dans des silos propriétaires, hors de notre vue, nous perdons les bénéfices que nous pourrions en tirer », estime Tim Berners-Lee.

    Et justement, les fuites de données deviennent de plus en plus fréquentes, la dernière en date est celle d’une base de données contenant des millions de comptes et appartenant à Dun & Bradstreet, un géant des services business qui a confirmé que la base de données lui appartient. Les 52 GB de données contiennent près de 33,7 millions d’adresses email uniques et d’autres informations de contact des employés de milliers d'entreprises, représentant une large part de la population corporate aux États-Unis.

    Cette base de données est utilisée par les marketers pour cibler les gens avec des campagnes d’email et les autres méthodes de prospection. En effet, les données contiennent plusieurs types d’informations comme les noms complets, les fonctions, les adresses électroniques du travail et les numéros de téléphone. Les autres informations sont plus génériques et d’ordre public comme les adresses de bureaux, le nombre d’employés et d’autres descriptions de l’industrie de chaque entreprise (publicité, juridique, médias, l’audiovisuel et les télécommunications).

    Ces données peuvent être achetées en grande quantité ou selon le type d’entreprises. Cependant, le prix de la base de données entière n’a pas été divulgué. Une brochure de 2015 montre que pour accéder à un demi-million de dossiers, il faudra débourser jusqu’à 200 000 dollars.

    Dans un billet de blog, Troy Hunt a informé qu’il a reçu la base de données et a analysé son contenu. Il s’agit d’un fichier CSV de 52,2 GB contenant des données JSON semblables à ceux d’une base de données MongoDB.

    Puisqu’il s’agit de données corporate, ils sont bien organisés. Chaque nom est bien casé et les adresses email sont bien formées. Il n’y a aucun signe qui indique que ces données ont été entrées par des utilisateurs ou les services de collecte de données en masse. De plus, les données sont 100 % US avec l’État de Californie le plus représenté (4 millions de comptes), suivi par New York (2,7 millions), Texas (2,6 millions de comptes), etc. Troy Hunt en a conclu que ces données ont été fournies en tant que feed des entreprises américaines et leurs employés. Précisément comme le genre de données que les gens auraient tendance à payer au prix fort vu la grande valeur des informations disponibles.

    L’analyse de Hunt a montré que les organisations les plus présentes dans la fuite sont le Département de la justice américaine (101 013 employés mentionnés), suivi par le service de poste américaine (88 153). L’armée américaine, l’armée de l’air et le ministère des Anciens Combattants sont tous listés avec 76 379 dossiers. AT&T, Boeing, Dell, IBM et Xerox ont fait partie des entreprises les plus listées dans la base de données, avec des dizaines de milliers de dossiers de leurs employés.

    Bien que vous pouvez rassembler ces données à partir des informations déjà disponibles au public, les avoir dans cette forme bien organisée et indexée pour les recherches lui procure plus de valeur. Cela rappelle qu’en effet, on a perdu le contrôle de nos données et notre confidentialité. La majorité des gens listés ici n’avaient aucune idée que leurs données sont vendues et achetées et ils n’ont aucun contrôle sur le processus.

    Cette fuite, bien qu’étant gigantesque, on ne connait pas toujours qui l’a causée et comment elle a eu lieu. Un porte-parole de Dun & Bradshaw a informé que sa firme a analysé les données et a confirmé qu’il s’agit du type de format fourni par l’entreprise. Toutefois, il affirme que l’analyse a montré que les données n’ont pas été accédées ou exposées à partir du système de Dun & Bradstreet. Le porte-parole a informé également qu’une enquête interne a montré que les données appartiennent à la firme. Mais ces systèmes n’ont pas été infiltrés ou exposés.

    L’entreprise a ajouté que ces données datent de six mois et ont été vendues en gros à des milliers d’entreprises. Pour cette raison, il sera difficile de traquer les firmes tierces qui auraient exposé une copie de la base de données. Dun & Bradstreet a tenté d’assurer ses clients et les utilisateurs dont les données ont été collectées ; elle a dit que les données contiennent généralement des informations de contact disponibles publiquement et utilisées pour des objectifs de vente et de marketing.

    Toutefois, Troy Hunt n’est pas d’accord avec cet argument. « Quand vous avez les noms de quelqu’un, son occupation et son adresse email avec l’entreprise où il travaille, vous avez les informations nécessaires pour l’identifier, » dit-il dans son billet de blog. « Et c’est ce qui fait que cette collection de données est hautement volatile, la quantité de ces informations personnelles de beaucoup de gens et sur leurs rôles professionnels posent de nombreux risques pour les organisations impliquées ici. »

    Ce type de données peut être utilisé par les marketeurs, mais aussi par des pirates qui ciblent leurs victimes avec des attaques d’hameçonnage. Ces données faciliteront surement ce type d’attaques. C’est une véritable mine d’or pour l’hameçonnage parce qu’elle contient une énorme quantité d’informations pratiques qui procureront plus d’authenticité ; cet aspect est particulièrement attractif pour les pirates et les agences gouvernementales.

    Hunt a informé que les victimes n’ont aucune chance de réclamer la restitution de leurs données.

    Source : Troy Hunt - The INQUIRER

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Tim Berners-Lee : le web tel que nous le connaissons est menacé par plusieurs dangers, notamment la perte de contrôle de nos données et les fake news

  2. #2
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    Janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : Janvier 2010
    Messages : 803
    Points : 1 407
    Points
    1 407
    Par défaut
    "Les données de 33 millions d'employés américains sont en fuite"???

    J'adore cette notion de "données en fuite"!!! Si je comprends bien, ces données étaient tellement malheureuses qu'elles ont décidé de leur propre chef de faire le mur... C'est ça???


    ...

    Tiens... Après quelques heures, je constate que le titre a changé et fait mention de "pirates" à l'origine des fuites... Merci à l'auteur d'avoir pris en compte ma remarque (PS: Ma remarque ne se voulait pas une critique de l'auteur de la news mais relevait simplement un aspect amusant de la tournure de phrase choisie) mais franchement je préférais l'original... Elle était plus amusante!!!

    Encore toute mon admiration pour les auteurs qui publient sur ce site des news...

  3. #3
    Membre extrêmement actif
    Profil pro
    Développeur
    Inscrit en
    Mars 2012
    Messages
    1 969
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Mars 2012
    Messages : 1 969
    Points : 3 375
    Points
    3 375
    Par défaut
    Une vraie passoire les serveurs américains

  4. #4
    Membre expérimenté

    Homme Profil pro
    retraité
    Inscrit en
    Novembre 2004
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : retraité
    Secteur : Service public

    Informations forums :
    Inscription : Novembre 2004
    Messages : 389
    Points : 1 595
    Points
    1 595
    Par défaut
    Bah, ils fournissaient sans doute déjà la CIA, la NSA, le FBI et autres.
    Alors maintenant tout le monde peut en profiter.
    Liberté, Égalité, Fraternité.
    Vive les portes dérobées, les vulnérabilités, les zerodays, et autres FAP (Fucking Bad Practices).

  5. #5
    Membre à l'essai
    Homme Profil pro
    non
    Inscrit en
    Mars 2017
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Corse (Corse)

    Informations professionnelles :
    Activité : non

    Informations forums :
    Inscription : Mars 2017
    Messages : 10
    Points : 13
    Points
    13
    Par défaut
    Citation Envoyé par Namica Voir le message
    Bah, ils fournissaient sans doute déjà la CIA, la NSA, le FBI et autres.
    Alors maintenant tout le monde peut en profiter.
    Liberté, Égalité, Fraternité.
    Vive les portes dérobées, les vulnérabilités, les zerodays, et autres FAP (Fucking Bad Practices).
    t'es pas belge toi?

  6. #6
    Membre extrêmement actif
    Profil pro
    Développeur
    Inscrit en
    Mars 2012
    Messages
    1 969
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Mars 2012
    Messages : 1 969
    Points : 3 375
    Points
    3 375
    Par défaut
    Peut-être la conséquence des serveurs non sécurisés des Clintons.
    Certains login auraient pû être découverts...
    Mais on préfère mettre cela sur le dos des "nouveaux" hackers.

    Edit:
    J'ai du mal à croire à cela: "Il s’agit d’un fichier CSV de 52,2 GB contenant des données JSON".
    Déjà du JSON dans un CSV!
    Ensuite 52 Gb dans 1 fichier!
    Il n'y a pas de zip sur leur pc?

  7. #7
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 602
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 602
    Points : 4 129
    Points
    4 129
    Par défaut
    C'est surtout, vive la centralisation des données

  8. #8
    Membre émérite Avatar de SofEvans
    Homme Profil pro
    Développeur C
    Inscrit en
    Mars 2009
    Messages
    1 080
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France

    Informations professionnelles :
    Activité : Développeur C

    Informations forums :
    Inscription : Mars 2009
    Messages : 1 080
    Points : 2 352
    Points
    2 352
    Par défaut
    Citation Envoyé par hotcryx Voir le message
    Edit:
    J'ai du mal à croire à cela: "Il s’agit d’un fichier CSV de 52,2 GB contenant des données JSON".
    Déjà du JSON dans un CSV!
    Ensuite 52 Gb dans 1 fichier!
    Il n'y a pas de zip sur leur pc?
    La BDD a été dumpé dans un fichier de type csv, donc il n'y a rien d'étonnant concernant la taille et le type dudit fichier.
    Ensuite, du JSON dans une BDD, je comprends que cela peut surprendre au début, mais cela n'est pas impossible ni forcement idiot.

    J'ai déjà eu un cas où il était préférable de stocker une chaîne en JSON dans une BDD plutôt que de décomposer le JSON pour le stocker, pour ensuite le recomposer et l'expoiter. Ceci dit, c'était un cas assez spécifique.

  9. #9
    Membre expérimenté
    Homme Profil pro
    Chargé de projet
    Inscrit en
    Novembre 2015
    Messages
    429
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Chargé de projet
    Secteur : Industrie

    Informations forums :
    Inscription : Novembre 2015
    Messages : 429
    Points : 1 691
    Points
    1 691
    Par défaut
    Citation Envoyé par hotcryx Voir le message
    Peut-être la conséquence des serveurs non sécurisés des Clintons.
    Certains login auraient pû être découverts...
    Mais on préfère mettre cela sur le dos des "nouveaux" hackers.

    Edit:
    J'ai du mal à croire à cela: "Il s’agit d’un fichier CSV de 52,2 GB contenant des données JSON".
    Déjà du JSON dans un CSV!
    Ensuite 52 Gb dans 1 fichier!
    Il n'y a pas de zip sur leur pc?
    En admettant qu'ils utilisent un Framework pour afficher leur donnée c'est pas idiot, par exemple avec Spring le Framework renvois et lis du JSON donc c'est surement mieux pour eux de le stocker comme sa ça évite de retraiter à chaque accès.
    Si c'est pas Sprign qui fait sa prière de ne

  10. #10
    Expert éminent sénior
    Avatar de Jipété
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    10 969
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : Juillet 2006
    Messages : 10 969
    Points : 15 436
    Points
    15 436
    Par défaut
    Citation Envoyé par arond Voir le message
    Si c'est pas Sprign qui fait sa prière

  11. #11
    Membre expérimenté
    Homme Profil pro
    Chargé de projet
    Inscrit en
    Novembre 2015
    Messages
    429
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Chargé de projet
    Secteur : Industrie

    Informations forums :
    Inscription : Novembre 2015
    Messages : 429
    Points : 1 691
    Points
    1 691
    Par défaut
    Citation Envoyé par Jipété Voir le message
    Vous ne m'avez pas l'air de bonne humeur j'ai dis quelque chose qui vous a vexé ?


  12. #12
    Membre actif
    Homme Profil pro
    PDG
    Inscrit en
    Septembre 2005
    Messages
    101
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 63
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : PDG
    Secteur : Arts - Culture

    Informations forums :
    Inscription : Septembre 2005
    Messages : 101
    Points : 225
    Points
    225
    Par défaut
    Citation Envoyé par arond Voir le message
    Vous ne m'avez pas l'air de bonne humeur j'ai dis quelque chose qui vous a vexé ?

    Non, c'est juste que tu as écris "sa" au lieu de "ça" et que tu as oublié une virgule, ce qui change complètement le sens de ta phrase
    Citation Envoyé par arond
    Si c'est pas Sprign qui fait sa prière de ne
    devrait être
    "Si c'est pas Spring qui fait ça, prière de ne..."
    Dans le premier cas, tu dis que Spring fait sa prière.

  13. #13
    Membre expérimenté
    Homme Profil pro
    Chargé de projet
    Inscrit en
    Novembre 2015
    Messages
    429
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Chargé de projet
    Secteur : Industrie

    Informations forums :
    Inscription : Novembre 2015
    Messages : 429
    Points : 1 691
    Points
    1 691
    Par défaut
    Citation Envoyé par dasdeb Voir le message
    Non, c'est juste que tu as écris "sa" au lieu de "ça" et que tu as oublié une virgule, ce qui change complètement le sens de ta phrase

    devrait être
    "Si c'est pas Spring qui fait ça, prière de ne..."
    Dans le premier cas, tu dis que Spring fait sa prière.
    oups !

    Merci de la correction.

Discussions similaires

  1. Réponses: 5
    Dernier message: 06/06/2015, 14h41
  2. Réponses: 1
    Dernier message: 17/02/2014, 14h33
  3. Réponses: 5
    Dernier message: 26/03/2013, 17h55
  4. Réponses: 1
    Dernier message: 04/05/2011, 09h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo