L'association américaine AARP (American Association of Retired Persons) s'est appuyée pour dresser ce bilan, sur l'étude de 244 cas de failles de sécurité divulgués publiquement entre le premier janvier 2005 et le 26 mai 2006. Ces incidents auraient ainsi exposé les données personnelles de près de 90 millions d'individus.
L'AARP a identifié 5 sources principales sur lesquelles se répartissent les failles recensées dans son rapport : le piratage ou attaque externe grâce à un accès non-autorisé, les vols de matériels (portables, disques durs, etc.), les divulgations involontaires de données (la publication accidentelle sur un site Internet par exemple ), les accès internes malintentionnés et enfin les pertes de supports de sauvegarde.
Premier constat établi par l'association américaine, 33% des 244 cas ayant fait l'objet d'une divulgation publique impliquaient un acte de piratage criminel. Seconde menace, à 29%, les vols, aussi bien d'ordinateurs portables que de supports de stockage. Viennent ensuite, à 23%, les publications involontaires de données, notamment sur des sites Internet accessibles à tous les internautes. Les vols et les ventes d'informations personnelles par des salariés n'interviennent que pour 7% des cas.
Les attaques externes par le biais d'Internet sont donc la menace la plus directe pour les entreprises, institutions et agences fédérales qui en ont été les cibles. Le piratage, contrairement aux vols physiques, a pour but exclusif et délibéré de dérober des données à des fins criminelless, telle que l'usurpation d'identité. Les pertes de médias de stockage ou encore les divulgations accidentelles, si elles exposent des données, ne présentent pas la certitude d'être exploitées par des cybercriminels.
De plus, tout en étant à l'origine de 33% des attaques, le hacking est également la source potentiellement la plus critique. Sur les 16 mois, le piratage est responsable du vol de 50% de l'ensemble des données. Ce qui représente approximativement 45 millions de victimes possibles. Les ordinateurs portables, parce qu'ils sont susceptibles de stocker d'importantes données, représentent 34% de ces informations personnelles exposées.
|
Nombre de failles de sécurité par source et par cible
|
|
|
|
|
Parmi les victimes de ces failles de sécurité, il s'agit à 43% d'établissements scolaires, privés et publics. 104 des 244 cas concernent en effet ces derniers. Et pour 55 d'entre eux, un acte de piratage en était à l'origine. Ont également fait l'objet d'incidents, les agences gouvernementales à 17% et les entreprises pour 15%.
Toutefois, si les collèges et les universités semblent avoir été fortement affectés au cours des 16 mois de l'étude, les données possiblement exploitables pour des fraudes ne représentent que 3,6 millions de personnes.
|
Nombre de victimes potentielles par source et par cible
|
|
|
|
|
Les organismes financiers (banques et assurances), bien qu'ils ne soient qu'à 13% concernés par ces rapports, ont exposés 47 millions d'américains, suivis à seulement quelques encablures des agences gouvernementales, avec 34,1 millions.
Parmi les 33 incidents rapportés par des établissements financiers, 5 étaient le fait d'un pirate. Néanmoins, malgré ce faible nombre d'attaques, ce sont les informations personnelles de plus de 40 millions de leurs clients qui ont été perdues ou volées. Une activité véritablement lucrative pour les criminels.
Les résultats du rapport de L'AARP sont à rapprocher de ceux d'une autre étude, conduite cette fois par Trusted Strategies. Sur la base des données du Département de la Justice américain relatives aux intrusions réseau et aux vols d'informations entre 1999 et 2006, le cabinet a évalué à 1,5 million de dollars le coût moyen pour une entreprise résultant d'un accès non-autorisé. En comparaison, une attaque par virus ne couterait que 2 400 dollars.
|
Dossiers
