1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    juin 2016
    Messages
    143
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 143
    Points : 4 768
    Points
    4 768

    Par défaut Cybersécurité : 157 Go de données de plus d’une centaine d’entreprises manufacturières ont été exposées

    Cybersécurité : 157 Go de données de plus d’une centaine d’entreprises manufacturières ont été exposées
    Sur un serveur public non sécurisé

    UpGuard, une startup australienne de cyber-résilience, a découvert l’exposition d’une base de données de 157 Go sur un serveur accessible au public appartenant à Level One Robotics, un fournisseur de services d’ingénierie spécialisé dans les processus d’automatisation et d’assemblage. Cette base de données découverte le 1er juillet par les spécialistes d’UpGuard contenait plus de dix ans de schémas de chaînes de montage, de plans d’agencement d’usine, de configurations robotisées et de documentations (formulaires de demande d’identification, formulaires de demande d’accès VPN, accords de non-divulgation, noms et titres d’employés) appartenant à plus d’une centaine d’entreprises manufacturières dont Volkswagen, Chrysler, Ford, General Motors, Tesla et ThyssenKrupp, pour ne citer que celles-là. Elle comprenait aussi des informations personnelles (scans de permis de conduire et de passeports, noms, numéros d’identification, photos) de certains employés de Level One Robotics et des données commerciales (factures, contrats, détails de comptes bancaires, négociations de prix) de l’entreprise.

    Nom : Capture du 2018-07-24 22-37-47.png
Affichages : 5258
Taille : 548,0 Ko

    Les données ont été exposées via rsync, un protocole de transfert de fichiers utilisé pour transférer d'importants volumes de données. Le serveur rsync n'était pas restreint par IP ou par identification d’utilisateur et l'ensemble des données était téléchargeable sur n'importe quel client rsync connecté au port rsync. La quantité de données sensibles et le nombre d'entreprises touchées illustrent parfaitement la manière dont les cyber-risques de la chaîne d'approvisionnement peuvent affecter même les plus grandes entreprises. L'automatisation et la numérisation de l'industrie manufacturière ont sublimé ces dernières années, mais elles ont également créé de nouvelles inquiétudes qui doivent être prises au sérieux afin qu’à terme, les entreprises puissent prospérer dans un écosystème numérique sain.

    Apres avoir découvert la base de données, l’équipe cyber-risque d’UpGuard l’a analysée et a pris contact avec Level One Robotics le 9 juillet. Prenant l’affaire à bras-le-corps, l’entreprise d’ingénierie a mis les bouchées doubles pour que dès le lendemain, les données exposées soient sécurisées et restreintes d’accès. rsync est un utilitaire largement utilisé pour les transferts de données volumineuses, en particulier les sauvegardes ou la synchronisation de fichiers. Cependant, il peut être utilisé de manière non sécurisée si les mesures appropriées ne sont pas prises pour sécuriser le transfert des données.

    Afin d’empêcher l’accès aux clients non autorisés, les instances de rsync devraient être restreints par adresse IP afin que seuls les clients désignés puissent se connecter, et l'accès utilisateur doit être configuré de manière à ce que les clients passent par une authentification avant de recevoir les jeux de données. Autrement, rsync est accessible au grand public. Prenant conscience de la sensibilité des données exposées, il est aisé d’appréhender la gravité de la fuite. Les constructeurs automobiles - et les fabricants en général - veulent généralement garder confidentiels les détails sur la façon dont ils fabriquent leurs produits. Les plans d'usine, les efforts d'automatisation et les spécifications des robots sont révélateurs du potentiel de production de l'entreprise.

    Des individus malveillants pourraient éventuellement saboter les opérations des entreprises en utilisant les informations présentes dans ces fichiers. Les concurrents pourraient les utiliser pour se garantir un avantage déloyal. Le simple fait qu’il y ait autant d’accords de non-divulgation dans la base de données montre le niveau de confidentialité auquel les entreprises s’attendent lorsqu’elles traitent de ce genre d’informations. Et malgré le fait qu'aucun mot de passe n'ait été directement révélé dans le jeu de données, le croisement des données dévoilées pourrait rendre beaucoup plus facile l’accès à ces entreprises . De plus, les informations personnelles des employés de Level One Robotics et de ses clients pourraient être la porte ouverte à une vague d’usurpations d’identité. Il faut aussi souligner qu’il y a un risque pour que pendant les jours où les données étaient accessibles au public, quelqu’un ait pu en tirer avantage de quelque manière que ce soit.

    Ainsi, malgré tout ce que certaines entreprises dépensent par an pour leurs cybersécurités, elles peuvent toujours être exposées par un fournisseur qui gère leurs données. La complexité de la chaîne d'approvisionnement implique une extension de tierces et de quatrièmes parties qui manipulent des ensembles de données d'entreprise. Tous ces fournisseurs ont leurs propres processus et systèmes qui déterminent dans quelle mesure les données sont protégées. Les organisations et leurs fournisseurs doivent disposer de processus de déploiement normalisés qui créent et conservent les actifs en toute sécurité, réduisant ainsi la probabilité d'un incident. Si cette sécurité n'est pas intégrée aux processus eux-mêmes, il y aura toujours des erreurs de configuration qui se répercuteront et mèneront à l'exposition des données. Ils doivent également avoir un plan d'intervention en cas d'exposition, de sorte que lorsqu'ils sont touchés, ils puissent agir rapidement pour remédier à la situation.

    Sources : UpGuard, NYT

    Et vous ?

    Qu’en pensez-vous ?
    Quelles mesures conjointes les entreprises et leurs fournisseurs devraient-ils prendre pour maximiser la sécurité des données ?

    Voir aussi

    Les meilleurs cours et tutoriels pour apprendre la sécurité informatique
    USA, cybersécurité aéronautique : les avions commerciaux exposés aux potentielles attaques, de nombreuses vulnérabilités ont été découvertes
    Environ six organisations sur dix emploient un expert en cybersécurité selon une enquête de Gartner qui évoque les défis rencontrés par les DSI
    Cybersécurité : comment l'attaque contre Equifax en 2017 a-t-elle pu être possible ? Un état des lieux de la cybersécurité après cette attaque
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre averti Avatar de Placide Avorton
    Homme Profil pro
    Technicien d'exploitation
    Inscrit en
    novembre 2014
    Messages
    164
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Manche (Basse Normandie)

    Informations professionnelles :
    Activité : Technicien d'exploitation

    Informations forums :
    Inscription : novembre 2014
    Messages : 164
    Points : 366
    Points
    366

    Par défaut

    Citation Envoyé par Bill Fassinou Voir le message
    Qu’en pensez-vous ?
    Là c'est le pompon tout de même:

    - Une base non sécurisée.
    - Une gestion documentaire plus "qu'approximative" les fichiers étant aussi bien des données techniques que des données personnelles.
    - Un absence manifeste d'audits de sécurité, puisque c'est une tierce partie qui relève la faille.

    Gageons qu'avec une telle négligence la rétention des logs de cette machine doit elle aussi laisser à désirer. Ce qui ne va pas être pratique pour de déterminer si les données ont étés compromises ou non.

Discussions similaires

  1. Réponses: 0
    Dernier message: 14/04/2010, 15h40
  2. Extraction de données xml sur un serveur avec extjs
    Par dasdo dans le forum Ext JS / Sencha
    Réponses: 1
    Dernier message: 30/07/2009, 20h03
  3. Réponses: 11
    Dernier message: 05/06/2008, 10h39
  4. [connexion base de données access sur un serveur]
    Par t1marlartiste dans le forum Access
    Réponses: 1
    Dernier message: 09/07/2007, 17h23
  5. Réponses: 6
    Dernier message: 22/06/2006, 11h23

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo