Discussion :

[Stéphane le calme]

Toulouse : les données de 112 000 fonctionnaires de police ont été téléchargées sur Google Cloud
par un ancien employé suite à un différend avec sa hiérarchie

RTL rapporte que les données personnelles d’environ 112 000 fonctionnaires de police ainsi que celles de leurs proches, adhérents à la Mutuelle Générale de la Police se sont retrouvées sans protection sur internet. Dans ce cas particulier, il ne s’agirait pas d’une attaque, mais plutôt d’une vengeance d’un ancien employé de la mutuelle suite à un différend avec sa hiérarchie pour une histoire de primes non versées.

RTL avance que l’affaire remonte au 2 juin dernier , lorsqu'un responsable d'agence de la mutuelle, installé à Limoges, décide de copier le fichier des adhérents pour le télécharger sur le cloud de Google. En clair, les adresses et numéros de téléphone de 112 000 policiers, actifs et retraités, se retrouvent alors sur un support non sécurisé, protégé par un simple mot de passe. La direction de la mutuelle, qui a mis à pied l'employé indélicat, a mis trois semaines pour découvrir l'étendue des dégâts.

S’exprimant sur le sujet, Norman Girard, Vice Président et directeur général Europe de Varonis a déclaré : « une fois encore l’actualité démontre qu’un grand nombre de vols de données sont dus aux employés, malveillants ou non. La plupart des employés ont accès à beaucoup d’informations et souvent bien plus d'informations que celles dont ils ont réellement besoin pour faire leur travail. Ce qu’ils font de ces données n’est la plupart du temps pas surveillé ou analysé pour détecter un potentiel comportement malveillant. Les employés peuvent ainsi accéder et s'approprier des informations très sensibles, souvent sans que personne ne le sache ou après un délai parfois très long.

Dans le cas du vol dont a été victime la Mutuelle Générale de la Police, on constate que c’est un employé en conflit avec sa direction qui a copié, puis envoyé à l’extérieur via un service cloud des données confidentielles. Comme dans la majorité des cas de piratage interne : un événement déclencheur fait basculer une personne de confiance dans un état de mécontentement qui servira de point de départ à un vol d’informations. Les raisons qui poussent un employé à se transformer en pirate sont multiples (promotion refusée, déception vis-à-vis de la direction de la société, problèmes financiers, départ chez un concurrent, activisme, etc.), et le résultat peut avoir des conséquences désastreuses.

Il est toutefois important de souligner que, tandis que l’employé malveillant a pris les précautions nécessaires pour exfiltrer des données, et les publier via un compte anonyme sur un service cloud, les équipes informatiques de la Mutuelle Générale de la Police ont été en mesure d’identifier via analyse post-mortem, la source de la fuite d’informations et la copie massive de données. Il est donc à mon sens essentiel de saluer ce travail d’investigation. On l’oublie souvent, mais bon nombre des fuites de données restent impunies, faute d’outillages et de moyens techniques. En vue d’améliorer encore le niveau de sécurité de la Mutuelle Générale de la Police, la prochaine étape consisterait à faire un travail de suivi et d'analyse précis de la façon dont les salariés utilisent les données, de profilage des rôles et des comportements de sorte à élaborer un schéma de protection proactif. »

Nicolas Conte, secrétaire général adjoint du syndicat Unité SGP Police-FO, estime que la situation est extrêmement préoccupante d’autant plus qu’elle intervient dans un contexte où l’anonymat des policiers semble de plus en plus difficile à protéger. Nicolas Conte réclame des institutions qu’elles renforcent leur sécurité. En attendant les conclusions de l'enquête judiciaire, Google France a été prié d'effacer les données sensibles de ses fichiers.

Pour Joël Mollo, Directeur EMEA de Skyhigh Networks, « l'employé de la Mutuelle Générale de la Police a utilisé le service cloud Google Drive qui ne nécessite aucune installation sur le poste de travail. En moyenne, une entreprise européenne type utilise plus de 1038 applications cloud et quelques-unes en utilisent jusqu’à 6000 ! Toutes ces applications ne sont pas légitimes et l’on constate que beaucoup d’employés utilisent de nombreux services à l’insu de leur direction et des autorisations du département informatique. C’est ce que l’on appelle couramment le shadow IT ».

Il estime pour sa part que « si la Mutuelle Générale de la Police avait surveillé le trafic cloud, elle aurait pu détecter le transfert de données au moment où il quittait l'organisation, au lieu de s’en apercevoir des semaines plus tard. Beaucoup d’organisations négligent encore ce que l’on appelle la menace interne ».

Source : RTL

Voir aussi :

Un ressortissant chinois, ex-employé d'une société américaine poursuivi pour espionnage économique et vol de code source propriétaire

Oracle, accusé par une ancienne employée de gonfler ses résultats relatifs au cloud, envisage une action en justice pour poursuites abusives

[dk]

C'est vraiment d'une bêtise sans nom

[Uranne-jimmy]

La plupart des employés ont accès à beaucoup d’informations et souvent bien plus d'informations que celles dont ils ont réellement besoin pour faire leur travail. Ce qu’ils font de ces données n’est la plupart du temps pas surveillé ou analysé pour détecter un potentiel comportement malveillant. Les employés peuvent ainsi accéder et s'approprier des informations très sensibles, souvent sans que personne ne le sache ou après un délai parfois très long.

Maintenant faisons une petite modification :

La plupart des services de renseignement/gouvernements/Grandes entreprises du net ont accès à beaucoup d’informations et souvent bien plus d'informations que celles dont ils ont réellement besoin pour faire leur travail. Ce qu’ils font de ces données n’est la plupart du temps pas surveillé ou analysé pour détecter un potentiel comportement malveillant. Les services de renseignement/gouvernements/Grandes entreprises du net peuvent ainsi accéder et s'approprier des informations très sensibles, souvent sans que personne ne le sache ou après un délai parfois très long.

[Aurelien.Regat-Barrel]

C'est pas son employeur qui subit la vengeance mais 112.000 autres personnes. Il suffit qu'une sur dix milles décide de se venger de ce mec pour qu'il soit sérieusement dans la merde!

[yonisolo]

Dans le cas d'une personne fragile, je pense surtout que ses supérieurs auraient du plus être au fait de la situation psychologique de son employé à la vue de ses responsabilités. Hélas ça ne sert à rien de tenter de traiter la cause quand on ne traite pas la conséquence. Trop de pression, des problèmes personnels... Je ne dis pas que ce qu'il a fait est bien, je pense juste que l'IT a démontrer qu'infantiliser les utilisateurs n'est pas une bonne chose...
Pour info, je voudrais bien savoir le nombre d'administrations (service du DGFIP compris) qui ne travaillent pas avec leurs outils internes mais avec un tableur type excel ou autre avant de recopier juste le nécessaire sur l'outil officiel...
Ce type de document sortie sur une clé ou envoyé par mail et la fuite est quasi invisible... Sans parler de ceux qui sont blindés de chevaux de Troie mais qui ne comprennent même pas ce que c'est...

[Grogro]

C'est vraiment criminel et j'espère que le responsable sera jugé. C'est juste nickel pour inciter nos dizaines de milliers de Merah potentiels à imiter le tueur de Magnanville.

[bclinton]

Faut-il retenir de cette info le fait que les employés ne sont pas assez (bien) fliqués ?

[ZenZiTone]

Faut-il retenir de cette info le fait que les employés ne sont pas assez (bien) fliqués ?

Non, seulement que les systèmes d'informations se sont pas suffisamment protégés. Et par protéger, je n'entends pas "fliquer", mais mettre à disposition les informations dont l'utilisateur à besoin, pas plus, pas moins. C'est ce qui est dit dans la news justement. Après il y aura des cas où une personne qui a besoin d'information sensibles pour son travail quotidien puisse en abuser pour se "venger" de son employeur. Donc certain diront qu'ils faut encore plus sécuriser et fliquer pour le coup, d'autre diront qu'il faut améliorer les conditions de travail pour éviter ce genre de soucis...

[Saverok]

Non, seulement que les systèmes d'informations se sont pas suffisamment protégés. Et par protéger, je n'entends pas "fliquer", mais mettre à disposition les informations dont l'utilisateur à besoin, pas plus, pas moins. C'est ce qui est dit dans la news justement. Après il y aura des cas où une personne qui a besoin d'information sensibles pour son travail quotidien puisse en abuser pour se "venger" de son employeur. Donc certain diront qu'ils faut encore plus sécuriser et fliquer pour le coup, d'autre diront qu'il faut améliorer les conditions de travail pour éviter ce genre de soucis...

Un employé de mutuel a besoin d'accéder aux fiches des adhérents.
Cela fait parti de son travail.
Mettre une sécurité pour ne permettre d'accéder qu'à une seule fiche à la fois ne sécurise rien du tout (ça ne fait que ralentir).
En quelques semaines, un robot simpliste peut récupérer l'intégralité de la base à raison de quelques centaines d'accès par jour.
Si les accès aux données sensibles ne sont ni tracés ni analysés, on ne détecte rien du tout.

Dans le cadre de l'activité professionnelle, c'est de la sécurité.
Les employés doivent être informés que toutes les actions qu'ils effectuent au sein du SI de l'entreprise sont enregistrées.

Par contre, sur l'espace publique et concernant la vie privé, c'est totalement différent.

[CoderInTheDark]

Autre exemple
J'ai fait de la compta au recouvrement d'une grande société, qui avait un gros gros fichier client.
J'ai regardé la mienne par curiosité(il y a préscription)
On pouvait retrouver facilement une personne.
On ne communiquait seulement que entre antennes, alors je me méfiait pas tout le temps.
Mais des fois on avait des appels de gens extérieur, qui essayait de nous duper, surment des commerciaux pour leur fichier clients.
Parce qu'on leur avait donner le numéro.
Si on ne faisait pas gaffe on pouvait se faire avoir.
Généralement je les repérais car ils n''avaient pas toutes les informations qu'on me fournissait habituellement et que je sentais qu'ils cherchaient à repomper la fiche client adresse numéro de téléphone.

Mais il y a aussi le mec jalou, qui va espionner sa copine.. ou l'inverse
Ou qui va utiliser les ressources pour retrouver les coordonnées de son ex....
Il y a pas pire que les frustrés pour détourner les ressources