17 PDG De La Cybersécurité Juil: L’Histoire De La Cybercriminalité, De 1834 À Nos Jours

Publié à 23:23hin Blogs, Pdg De La Cybersécurité, Gel de la Cybersécurité
Les premiers incidents de piratage étaient un aperçu de l’avenir

– Robert Herjavec

Los Angeles, Californie. – Jul. 17, 2019

C’est l’été! Et pour ceux d’entre vous qui ont besoin d’une bonne lecture estivale, j’en ai une. Ce mois–ci, les rédacteurs en chef du magazine Cybercriminalité ont dressé une liste d’incidents de piratage historiques remontant à 1834.

Je l’aime pour plusieurs raisons.

#1 – C’est un rappel que l’histoire peut et se répétera – si nous continuons à répondre de la même manière!

#2 – Cela démontre l’importance de la formation de sensibilisation à la sécurité pour vos employés! (Vous comprendrez mon point de vue au moment où vous lirez qu’un opérateur de compagnie de téléphone se serait fait avoir par une interprétation à la flûte de « Davy Crockett Cat » dans 1955)

#3 – Cela me montre que nous avons beaucoup de choses à être fiers — et que notre industrie a toujours été à la pointe de la technologie.

Lisez la chronologie ci—dessous et réfléchissez à la manière dont l’innovation, le partage d’informations, la proactivité, la diligence et l’expérience ont transformé la façon dont nous aurions réagi dans ces situations si nous avions eu la chance de les affronter à nouveau

Dateline Cybercriminalité

1834 — Système télégraphique français – Deux voleurs piratent le Système télégraphique français et volent des informations sur les marchés financiers, menant efficacement la première cyberattaque au monde.

1870 – Hack de standard – Un adolescent embauché comme opérateur de standard est capable de déconnecter et de rediriger les appels et d’utiliser la ligne pour un usage personnel.

1878 – Premiers appels téléphoniques – Deux ans après l’invention du téléphone par Alexander Graham Bell, la Bell Telephone Company met un groupe d’adolescents hors du système téléphonique à New York pour avoir, à plusieurs reprises et intentionnellement, mal orienté et déconnecté les appels des clients.

1903 – Télégraphie sans fil – Lors de la première démonstration publique par John Ambrose Fleming de la technologie de télégraphie sans fil « sécurisée » de Marconi, Nevil Maskelyne la perturbe en envoyant des messages insultants en code Morse discréditant l’invention.

1939 — Bris de code militaire — Alan Turing et Gordon Welchman développent BOMBE, une machine électromécanique, pendant la Seconde Guerre mondiale alors qu’ils travaillaient comme briseurs de code à Bletchley Park. Cela aide à casser les codes Enigma allemands.

1940 — Premier Hacker éthique — René Carmille, membre de la Résistance dans la France occupée par les Nazis et expert en informatique à cartes perforées propriétaire des machines utilisées par le gouvernement de Vichy pour traiter l’information, découvre que les Nazis utilisent des machines à cartes perforées pour traiter et traquer les Juifs, se porte volontaire pour les laisser utiliser les siennes, puis les pirate pour contrecarrer leur plan.

1955 — Pirate de téléphone — David Condon siffle son « Chat Davy Crockett » et sa « Flûte d’appel d’oiseau Canari » dans son téléphone, testant une théorie sur le fonctionnement des systèmes téléphoniques. Le système reconnaît le code secret, suppose qu’il est un employé et le connecte à un opérateur longue distance. Elle le connecte gratuitement à n’importe quel numéro de téléphone qu’il demande.

1957 — Joybubbles – Joe Engressia (Joybubbles), un garçon aveugle de 7 ans au ton parfait, entend un ton aigu sur une ligne téléphonique et commence à siffler à une fréquence de 2600 Hz, ce qui lui permet de communiquer avec les lignes téléphoniques et de devenir le premier pirate téléphonique des États-Unis ou « phone phreak ». »

1962 — Allan Scherr-MIT met en place les premiers mots de passe informatiques, pour la confidentialité des étudiants et les limites de temps. L’étudiant Allan Scherr fabrique une carte perforée pour inciter l’ordinateur à imprimer tous les mots de passe et les utilise pour se connecter comme d’autres personnes une fois son temps écoulé. Il partage également des mots de passe avec ses amis, menant au premier ordinateur « troll. »Ils piratent le compte de leur professeur et laissent des messages se moquant de lui.

1969 – Virus DES LAPINS – Une personne anonyme installe un programme sur un ordinateur du Centre informatique de l’Université de Washington. Le programme discret fait des copies de lui-même (se reproduisant comme un lapin) jusqu’à ce que l’ordinateur se surcharge et cesse de fonctionner. On pense qu’il s’agit du premier virus informatique.

1970-1995 — Kevin Mitnick — À partir de 1970, Kevin Mitnick pénètre dans certains des réseaux les plus surveillés au monde, y compris Nokia et Motorola, en utilisant des schémas d’ingénierie sociale élaborés, en incitant les initiés à transmettre des codes et des mots de passe et en utilisant les codes pour accéder aux systèmes informatiques internes. Il devient le cybercriminel le plus recherché de l’époque.

1971 – Steve Wozniak et Steve Jobs – Lorsque Steve Wozniak lit un article sur les Joybubbles et autres phreaks téléphoniques, il fait la connaissance de John « Captain Crunch » Draper et apprend à pirater les systèmes téléphoniques. Il construit une boîte bleue conçue pour pirater les systèmes téléphoniques, prétendant même être Henry Kissinger et appelant le pape. Il commence à produire en masse l’appareil avec son ami Steve Jobs et à le vendre à ses camarades de classe.

1973 — Détournement de fonds – Un caissier d’une banque locale de New York utilise un ordinateur pour détourner plus de 2 millions de dollars.

1981 – Condamnation pour cybercriminalité — Ian Murphy, alias « Captain Zap », pirate le réseau AT & T et modifie l’horloge interne pour facturer les tarifs hors heure aux heures de pointe. Première personne condamnée pour cybercriminalité et source d’inspiration pour le film « Sneakers », il effectue 1 000 heures de travaux d’intérêt général et 2,5 ans de probation.

1982 – La Bombe Logique — La CIA fait exploser un gazoduc sibérien sans utiliser de bombe ni de missile en insérant un code dans le réseau et le système informatique de contrôle du gazoduc. Le code a été intégré à de l’équipement acheté par l’Union soviétique à une entreprise au Canada.

1984 – Services secrets américains – Le Comprehensive Crime Control Act des États-Unis confère aux services secrets la compétence en matière de fraude informatique.

1988 — Le ver Morris — Robert Morris crée ce que l’on appellera le premier ver sur Internet. Le ver est libéré d’un ordinateur au MIT pour suggérer que le créateur y est un étudiant. L’exercice potentiellement inoffensif est rapidement devenu une attaque par déni de service vicieuse lorsqu’un bogue dans le mécanisme de propagation du ver entraîne l’infection et la réinfection des ordinateurs à un rythme beaucoup plus rapide que prévu.

1988-1991 — Kevin Poulsen — En 1988, une facture impayée sur un casier de stockage conduit à la découverte de certificats de naissance vierges, de fausses cartes d’identité et d’une photo du pirate Kevin Poulsen, alias « Dark Dante », s’introduisant dans une remorque de la compagnie de téléphone. Objet d’une chasse à l’homme à l’échelle nationale, il continue à pirater, notamment en truquant les lignes téléphoniques d’une station de radio de Los Angeles pour garantir qu’il est le bon appelant dans un concours de cadeaux. Il est capturé en 1991.

1989 – Logiciel Cheval de Troie – Une disquette prétendant être une base de données d’informations sur le sida est envoyée par la poste à des milliers de chercheurs sur le sida et d’abonnés à un magazine informatique britannique. Il contient un Cheval de Troie (d’après le Cheval de Troie de la mythologie grecque), ou programme destructeur se faisant passer pour une application bénigne.

1994 – Les administrateurs de Datastream Cowboy et Kuji du Centre de développement aérien de Rome, une installation de recherche de l’Armée de l’air américaine, découvrent qu’un « renifleur » de mot de passe a été installé sur leur réseau, compromettant plus de 100 comptes d’utilisateurs. Les enquêteurs ont déterminé que deux pirates informatiques, connus sous le nom de Datastream Cowboy et Kuji, sont derrière l’attaque.

1995 — Vladmir Levin – L’ingénieur logiciel russe Vladimir Levin pirate le système informatique de Citibank à New York depuis son appartement de Saint-Pétersbourg et autorise une série de transactions frauduleuses, pour finalement transférer environ 10 millions de dollars sur des comptes dans le monde entier.

1998-2007 — Max Butler – Max Butler pirate des sites Web du gouvernement américain en 1998 et est condamné à 18 mois de prison en 2001. Après avoir été libéré en 2003, il utilise le WiFi pour commettre des attaques, programmer des logiciels malveillants et voler des informations de carte de crédit. En 2007, il est arrêté et plaide finalement coupable de fraude par virement bancaire, volant des millions de numéros de carte de crédit et environ 86 millions de dollars d’achats frauduleux.

1999 — Piratage de la NASA et du Département de la Défense — Jonathan James, 15 ans, parvient à pénétrer dans les ordinateurs de la division du Département de la Défense des États-Unis et à installer une porte dérobée sur ses serveurs, lui permettant d’intercepter des milliers de courriels internes de différentes organisations gouvernementales, y compris ceux contenant des noms d’utilisateur et des mots de passe pour divers ordinateurs militaires. En utilisant les informations, il vole un logiciel de la NASA. Les systèmes sont arrêtés pendant trois semaines.

1999 – Le virus Melissa – Un virus infecte les documents Microsoft Word, se diffusant automatiquement en pièce jointe par courrier électronique. Il envoie un courrier aux 50 premiers noms répertoriés dans la boîte d’adresse e-mail Outlook d’un ordinateur infecté. Le créateur, David Smith, dit qu’il n’avait pas l’intention que le virus, qui a causé 80 millions de dollars de dommages, nuise aux ordinateurs. Il est arrêté et condamné à 20 mois de prison.

2000 — Lou Cipher — Barry Schlossberg, alias Lou Cipher, extorque avec succès 1 $.4 millions de CD Universe pour services rendus en tentant d’attraper le pirate russe.

2000 — Mafiaboy — Michael Calce, 15 ans, alias MafiaBoy, un lycéen canadien, lance une attaque DDoS contre plusieurs sites Web commerciaux de premier plan, dont Amazon, CNN, eBay et Yahoo! Un expert du secteur estime que les attaques ont entraîné des dommages de 1,2 milliard de dollars.

2002 – Attaque Internet – En ciblant les treize serveurs racines du Système de noms de domaine (DNS), une attaque DDoS attaque l’ensemble d’Internet pendant une heure. La plupart des utilisateurs ne sont pas affectés.

2003 – Opération CyberSweep – Le département de la Justice des États-Unis annonce plus de 70 mises en accusation et 125 condamnations ou arrestations pour hameçonnage, piratage, spam et autres fraudes sur Internet dans le cadre de l’Opération CyberSweep.

2003-2008 — Albert Gonzalez – Albert Gonzales est arrêté en 2003 pour avoir fait partie de ShadowCrew, un groupe qui a volé puis vendu des numéros de cartes en ligne, et travaille avec les autorités en échange de sa liberté. Gonzales est plus tard impliqué dans une série de crimes de piratage, volant à nouveau des détails de carte de crédit et de débit, d’environ 2006 jusqu’à son arrestation en 2008. Il a volé des millions de dollars, ciblant des entreprises telles que TJX, Heartland Payment Systems et Citibank.

2004 — Lowe’s — Brian Salcedo est condamné à 9 ans pour avoir piraté des magasins de rénovation domiciliaire Lowe’s et tenté de voler les informations de carte de crédit des clients.

2004 – ChoicePoint — Un citoyen nigérian de 41 ans compromet les données des clients de ChoicePoint, mais la société n’informe que 35 000 personnes de la violation. L’examen des médias conduit finalement le courtier de données sur les consommateurs, qui a depuis été acheté par LexisNexis, à révéler que 128 000 autres personnes avaient des informations compromises.

2005 — PhoneBusters – PhoneBusters rapporte plus de 11 000 plaintes pour vol d’identité au Canada et des pertes totales de 8,5 M $, ce qui en fait la forme de fraude à la consommation à la croissance la plus rapide en Amérique du Nord.

2005 — Polo Ralph Lauren / HSBC – La Banque HSBC envoie des lettres à plus de 180 000 clients de cartes de crédit, les avertissant que les informations de leur carte pourraient avoir été volées lors d’une faille de sécurité chez un détaillant américain (Polo Ralph Lauren). Une violation de données DSW expose également les informations de transaction de 1,4 million de cartes de crédit.

2006 – TJX – Un gang de cybercriminels vole 45 millions de numéros de cartes de crédit et de débit à TJX, une entreprise de vente au détail basée dans le Massachusetts, et utilise un certain nombre de cartes volées pour financer une virée d’achats électroniques chez Wal-Mart. Alors que les estimations initiales des dommages s’élevaient à environ 25 millions de dollars, les rapports ultérieurs additionnent le coût total des dommages à plus de 250 millions de dollars.

2008 – Systèmes de paiement Heartland – 134 millions de cartes de crédit sont exposées par injection SQL pour installer des logiciels espions sur les systèmes de données de Heartland. Un grand jury fédéral a inculpé Albert Gonzalez et deux complices russes en 2009. Gonzalez, soupçonné d’avoir orchestré l’opération internationale qui a volé les cartes de crédit et de débit, est plus tard condamné à 20 ans de prison fédérale.

2008 – L’Église de Scientologie — Un groupe de hackers connu sous le nom d’Anonymous cible le site Web de l’Église de Scientologie. L’attaque DDoS fait partie d’un mouvement activiste politique contre l’église appelé « Projet Chanology. » En une semaine, le site Web de Scientology est frappé par 500 attaques DDoS.

2010 – Le ver Stuxnet — Un virus informatique malveillant appelé la première arme numérique au monde est capable de cibler les systèmes de contrôle utilisés pour surveiller les installations industrielles. Il est découvert dans des centrales nucléaires en Iran, où il détruit environ un cinquième des centrifugeuses d’enrichissement utilisées dans le programme nucléaire du pays.

2010 – Virus de cheval de Troie Zeus — Un réseau de cybercriminalité d’Europe de l’Est vole 70 millions de dollars à des banques américaines en utilisant le virus de Cheval de Troie Zeus pour ouvrir des comptes bancaires et détourner de l’argent vers l’Europe de l’Est. Des dizaines de personnes sont inculpées.

2011 — Sony Pictures – Un piratage du stockage de données de Sony expose les dossiers de plus de 100 millions de clients utilisant les services en ligne de leur PlayStation. Les pirates ont accès à toutes les informations de carte de crédit des utilisateurs. La violation coûte plus de 171 millions de dollars à Sony.

2011 — Epsilon – Une cyberattaque sur Epsilon, qui fournit des services de gestion et de marketing des e-mails à des clients tels que Best Buy et JPMorgan Chase, entraîne la compromission de millions d’adresses e-mail.

2011 – SÉCURITÉ RSA – Des pirates informatiques sophistiqués volent des informations sur les jetons d’authentification SecurID de RSA, utilisés par des millions de personnes, y compris des employés du gouvernement et des banques. Cela met les clients qui comptent sur eux pour sécuriser leurs réseaux en danger.

2011 – ESTsoft – Des pirates informatiques exposent les informations personnelles de 35 millions de Sud-Coréens. Les attaquants avec des adresses IP chinoises y parviennent en téléchargeant des logiciels malveillants sur un serveur utilisé pour mettre à jour l’application de compression ALZip d’ESTsoft et voler les noms, les identifiants d’utilisateur, les mots de passe hachés, les dates de naissance, les sexes, les numéros de téléphone et les adresses de rue et de courrier électronique contenus dans une base de données connectée au même réseau.

2011-2012 — LulzSec — Lulz Security, ou LulzSec, un groupe de rupture du collectif de piratage Anonymous, attaque Fox.com et cible ensuite plus de 250 entités publiques et privées, y compris une attaque sur le PlayStation Network de Sony. Ils font ensuite connaître leurs piratages via Twitter pour embarrasser les propriétaires de sites Web et se moquer des mesures de sécurité insuffisantes.

2009-2013 — Roman Seleznev – Roman Seleznev pirate plus de 500 entreprises et 3 700 institutions financières aux États-Unis, volant les détails des cartes et les vendant en ligne, ce qui rapporte des dizaines de millions de dollars. Il est finalement arrêté et condamné pour 38 chefs d’accusation, y compris le piratage et la fraude électronique.

2013-2015 – Global Bank Hack – Un groupe de pirates informatiques basés en Russie a accès à des informations sécurisées de plus de 100 institutions à travers le monde. Les pirates utilisent des logiciels malveillants pour infiltrer les systèmes informatiques des banques et collecter des données personnelles, volant 650 millions de livres aux banques mondiales.

2013 – Frénésie de fraude par carte de crédit — Dans la plus grande affaire de cybercriminalité de l’histoire des États-Unis, les procureurs fédéraux accusent 5 hommes responsables d’une frénésie de piratage et de fraude par carte de crédit qui a coûté plus de 300 millions de dollars aux entreprises.

2014-2018 – Marriott International – Une violation se produit sur les systèmes prenant en charge les marques hôtelières Starwood à partir de 2014. Les attaquants restent dans le système après l’acquisition de Starwood par Marriott en 2016 et ne sont découverts qu’en septembre 2018. Les voleurs volent des données sur environ 500 millions de clients. Marriott l’annonce fin 2018.

2014 — eBay — Une cyberattaque expose les noms, adresses, dates de naissance et mots de passe cryptés de tous les 145 millions d’utilisateurs d’eBay.

2014 — CryptoWall – Le ransomware CryptoWall, le prédécesseur de CryptoDefense, est largement distribué, générant un chiffre d’affaires estimé à 325 millions de dollars.

2014 — JPMorgan – Des pirates informatiques détournent l’un des serveurs de JPMorgan Chase et volent des données sur des millions de comptes bancaires, qu’ils utilisent dans des stratagèmes de fraude rapportant près de 100 millions de dollars.

2015 — Anthem – Anthem signale le vol d’informations personnelles sur jusqu’à 78,8 millions de clients actuels et anciens.

2015 — LockerPin — LockerPin réinitialise le code PIN sur les téléphones Android et demande 500 victims aux victimes pour déverrouiller l’appareil.

2015 – Cartes de débit prépayées – Une bande mondiale de criminels vole un total de 45 millions de dollars en quelques heures en piratant une base de données de cartes de débit prépayées, puis en vidant les distributeurs de billets du monde entier.

2016 – Fuites d’e-mails du DNC — Les e-mails du Comité national démocrate sont divulgués et publiés par WikiLeaks avant l’élection présidentielle américaine de 2016.

2017 — Equifax — Equifax, l’une des plus grandes sociétés américaines bureaux de crédit, est piraté, exposant 143 millions de comptes d’utilisateurs. Les données sensibles divulguées comprennent les numéros de sécurité sociale, les dates de naissance, les adresses, les numéros de permis de conduire et certains numéros de carte de crédit.

2017 — Chipotle — Un gang criminel d’Europe de l’Est qui cible les restaurants utilise le phishing pour voler les informations de carte de crédit de millions de clients Chipotle.

2017 — WannaCry — WannaCry, le premier exemple connu de ransomware fonctionnant via un ver (logiciel viral qui se réplique et se distribue), cible une vulnérabilité dans les anciennes versions du système d’exploitation Windows. En quelques jours, des dizaines de milliers d’entreprises et d’organisations dans 150 pays sont exclues de leurs propres systèmes par le cryptage de WannaCry. Les attaquants exigent 300 $ par ordinateur pour déverrouiller le code.Facebook — 74 groupes Facebook consacrés à la vente de données de cartes de crédit volées, d’informations d’identité, de listes de spam, d’outils de piratage et d’autres produits de cybercriminalité sont découverts.

Que ces exemples nous rappellent à tous — l’histoire doit cesser de se répéter!

C’est à nous de décider en tant que chefs d’entreprise en cybersécurité. Le temps nous a montré qu’il n’existe pas de  » sécurité parfaite « . »Et la définition de la folie est de répéter la même action mais d’attendre un résultat différent n’est-ce pas??

  • Quelles mesures prenez-vous ce trimestre pour améliorer la posture de sécurité de votre organisation?
  • Quels sont vos programmes clés pour 2020 qui permettront à votre équipe de sécurité de passer au niveau supérieur ?
  • Est-ce sur votre feuille de route pour automatiser les processus d’orchestration des flux de travail à l’avenir? Et si non – pourquoi pas?

Notre heure est venue.

À votre succès,

– Robert Herjavec, fondateur et PDG de Herjavec Group, et Shark on ABC’s Shark Tank, fournit des informations aux cadres supérieurs dans son blog officiel du magazine Cybercriminalité. Le Groupe Herjavec est un fournisseur de Services de Sécurité Gérés avec des bureaux et des SOC (Centres d’opérations de Sécurité) dans le monde entier.

Archives du PDG de la cybersécurité

Posted on

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.