IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Mode arborescent

Message précédent Message précédent   Message suivant Message suivant
  1. 24/07/2025, 20h34 #1
    Stéphane le calme
    Stéphane le calme est déconnecté
    Chroniqueur Actualités
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 790
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 790
    Par défaut Comment un simple appel téléphonique a permis un piratage à 380 millions de dollars :
    Comment un simple appel téléphonique a permis un piratage à 380 millions de dollars :
    Clorox accuse son prestataire informatique de négligence après qu'il a communiqué des mots de passe à des pirates

    En août 2023, Clorox, géant américain des produits ménagers, subit un cyberassaut d’une ampleur exceptionnelle. Résultat : plusieurs semaines d’arrêt de production, des pertes estimées à plus de 380 millions de dollars, et une réputation ternie. Mais ce qui scandalise aujourd’hui, c’est la cause de la brèche : le service d’assistance informatique (help desk) d’un prestataire a tout simplement transmis les identifiants de connexion à des pirates... qui les ont demandés au téléphone. C'est en tout cas ce que prétend l'entreprise dans la procédure judiciaire qu'elle a entamé : Clorox a déposé une plainte contre Cognizant Technology Solutions, l’un de ses prestataires IT. Ce dernier est accusé de négligence grave, manquements contractuels et fausse représentation.

    Le géant américain des produits d'entretien et d'entretien ménager Clorox a intenté une action en justice de 380 millions de dollars contre le fournisseur de services informatiques Cognizant, alléguant que le personnel du service d'assistance de l'entreprise avait communiqué les mots de passe réseau à des cybercriminels qui les avaient simplement demandés par téléphone, sans poser aucune question.

    La plainte déposée mardi devant la Cour supérieure du comté d'Alameda comprend des enregistrements de conversations qui révèlent la simplicité stupéfiante de l'attaque d'août 2023, qui a causé 380 millions de dollars de dommages à l'entreprise de biens de consommation.

    « Quel est le mot de passe ? » « Welcome... »

    La plainte comprend des transcriptions mot pour mot montrant à quel point il était facile pour les pirates d'accéder au réseau de Clorox. Dans un échange qui illustre parfaitement la faille de sécurité, un cybercriminel a simplement déclaré qu'il ne pouvait pas se connecter sans mot de passe.

    « Je n'ai pas de mot de passe, donc je ne peux pas me connecter », a déclaré le pirate.

    « Oh, d'accord. D'accord. Je vais vous donner le mot de passe, d'accord ? » a immédiatement répondu l'agent de Cognizant, avant de lui communiquer le mot de passe commençant par « Welcome... ».

    Ce schéma s'est répété tout au long de la journée du 11 août 2023, les cybercriminels réussissant à obtenir la réinitialisation des mots de passe, la réinitialisation de l'authentification multifactorielle et même la modification des numéros de téléphone pour l'authentification par SMS, le tout sans fournir de numéros d'identification d'employés, de noms de responsables ou toute autre vérification.

    « La violation n'a pas été causée par un logiciel malveillant ou une faille zero-day, mais par l'absence de vérification élémentaire », a déclaré Sanchit Vir Gogia, analyste en chef chez Greyhound Research. « Les entreprises ne doivent plus assimiler l'externalisation à une abdication. »

    Citation Envoyé par extrait de la plainte
    Depuis plus d'une décennie, Clorox a confié à Cognizant, leader autoproclamé des services numériques et de cybersécurité, des rôles essentiels dans son environnement informatique. L'une de ces tâches était aussi cruciale que fondamentale : Cognizant a aidé à protéger la porte d'entrée.

    Cognizant a mis en place un service d'assistance (« Service Desk ») auquel les employés de Clorox pouvaient s'adresser lorsqu'ils avaient besoin d'aide pour récupérer ou réinitialiser leur mot de passe. Le fonctionnement du Service Desk de Cognizant était soumis à une exigence simple et logique : ne jamais réinitialiser les identifiants d'un utilisateur sans l'avoir préalablement authentifié. Clorox a facilité la tâche de Cognizant en lui fournissant des procédures simples à suivre pour toute demande d'aide à la récupération ou à la réinitialisation d'identifiants.

    Bien qu'elle ait assuré à Clorox qu'elle respectait ces procédures, la conduite de Cognizant le 11 août 2023 a démontré de manière spectaculaire qu'elle ne le faisait pas. Cognizant a à plusieurs reprises donné à un cybercriminel l'accès au réseau de Clorox en lui remettant des identifiants sans les authentifier correctement ni suivre la procédure de Clorox.

    Les défaillances de Cognizant ont entraîné une cyberattaque catastrophique contre Clorox (« cyberattaque »).

    Cognizant n'a pas été victime d'une ruse élaborée ni de techniques de piratage sophistiquées. Le cybercriminel a simplement appelé le service d'assistance de Cognizant, demandé les identifiants pour accéder au réseau de Clorox, et Cognizant les lui a fournis sans hésiter. Cognizant a été enregistré en train de remettre les clés du réseau d'entreprise de Clorox au cybercriminel, sans poser aucune question d'authentification :
    • Cybercriminel : Je n'ai pas de mot de passe, je ne peux donc pas me connecter.
    • Agent Cognizant : Oh, d'accord. D'accord. Je vais vous donner le mot de passe, d'accord ?
    • Cybercriminel : D'accord. Oui. C'est quoi le mot de passe ?
    • Agent Cognizant : Un instant. Il commence par le mot « Welcome... »

    Le cybercriminel a ensuite utilisé ces identifiants, ainsi que d'autres obtenus le même jour lors d'appels similaires au service d'assistance, pour attaquer Clorox.

    La cyberattaque qui en a résulté a été dévastatrice. Elle a paralysé le réseau d'entreprise de Clorox et paralysé ses activités commerciales. Pour ne rien arranger, lorsque Clorox a fait appel à Cognizant pour fournir des services d'intervention en cas d'incident et de reprise après sinistre, Cognizant a bâclé sa réponse et aggravé les dommages qu'il avait déjà causés.
    Chronologie des événements

    14 août 2023 – Clorox détecte une activité inhabituelle sur ses systèmes informatiques, ce qui l'incite à prendre des mesures immédiates. L'entreprise met hors ligne les systèmes concernés afin d'empêcher tout nouvel accès non autorisé. Les forces de l'ordre sont également sollicitées pour enquêter sur cette violation, soulignant la gravité de la situation.

    17 août 2023 – Trois jours après la détection initiale, Clorox a activé ses plans de continuité des activités. Cela impliquait le retour à des processus manuels pour le traitement des commandes et la communication avec les clients. L'entreprise a informé sa clientèle qu'un retour complet à des niveaux de service normaux prendrait un certain temps, sans préciser combien.

    5 septembre 2023 – Près d'un mois après le début de la crise, Clorox a mis en place une solution provisoire permettant le traitement manuel des commandes et des expéditions. Les activités de production ont repris et l'entreprise a maintenu une communication constante avec ses clients afin de répondre à leurs besoins et préoccupations immédiats.

    18 septembre 2023 – Malgré les efforts déployés pour gérer la crise, les perturbations opérationnelles se sont poursuivies. Clorox a dû réduire ses capacités de traitement des commandes, ce qui a entraîné une diminution de la disponibilité des produits dans les points de vente au détail. Cette période a marqué un tournant critique dans l'incident, l'entreprise reconnaissant les difficultés persistantes pour rétablir le fonctionnement normal.

    29 septembre 2023 – Tous les sites de production ont été déclarés à nouveau opérationnels et Clorox a entamé le processus de transition vers le traitement automatisé des commandes. Cependant, l'entreprise a également révélé que l'incident avait eu un impact significatif sur ses résultats financiers du premier trimestre de cette année-là, signalant les conséquences à long terme de la cyberattaque.

    Nom : cogni.png Affichages : 11015 Taille : 472,8 Ko

    Une attaque attribuée à des spécialistes en ingénierie sociale

    La cyberattaque de 2023 a été attribuée à Scattered Spider, un groupe cybercriminel connu pour ses campagnes sophistiquées d'ingénierie sociale ciblant les services d'assistance informatique. Cependant, dans ce cas précis, les attaquants ont réussi à atteindre leur but grâce à des tactiques remarquablement basiques plutôt qu'à des méthodes techniques avancées.

    « Le succès de Scattered Spider avec un simple appel "veuillez réinitialiser mon mot de passe" confirme que les acteurs malveillants essaieront toujours d'abord l'ingénierie sociale la moins coûteuse et ne passeront au clonage vocal ou aux deepfakes que si les astuces simples échouent », a déclaré Prabhjyot Kaur, analyste senior chez Everest Group.

    Le dossier judiciaire détaille comment les attaquants ont utilisé des approches identiques pour compromettre systématiquement les comptes de plusieurs employés de Clorox. Après avoir obtenu un accès initial grâce aux identifiants d'un employé, ils ont rappelé plusieurs fois le même jour pour réinitialiser les identifiants MFA de ce même employé, les agents de Cognizant se conformant à chaque fois sans remettre en question ce comportement inhabituel.

    Réaction de Cognizant : « Ce n’est pas notre faute »

    De son côté, Cognizant rejette toute responsabilité. L’entreprise affirme qu’elle n’était pas en charge de la sécurité globale de Clorox, mais uniquement de certaines fonctions de support technique. Elle soutient que les engagements contractuels ont été « raisonnablement remplis », et que Clorox reste responsable de la surveillance de ses comptes et de ses employés.

    Une agence de relations publiques représentant Cognizant a déclaré : « Il est choquant qu'une entreprise de la taille de Clorox ait eu un système de cybersécurité interne aussi inefficace pour atténuer cette attaque. Clorox a tenté de nous rendre responsables de ces défaillances, mais la réalité est que Clorox a engagé Cognizant pour une gamme restreinte de services d'assistance technique que Cognizant a raisonnablement fournis. Cognizant n'a pas géré la cybersécurité pour Clorox. »

    Cette défense pourrait toutefois être difficile à tenir si la justice établit que Cognizant a facilité l’accès initial des pirates, et n’a pas respecté les pratiques minimales d’authentification.

    Échecs systématiques de la formation malgré les assurances

    Les failles de sécurité se sont produites malgré le fait que Clorox ait mis en place des procédures complètes spécialement conçues pour prévenir de telles attaques, ajoute la plainte. Celle-ci précise également que le responsable du service d'assistance interne de Clorox tenait des réunions hebdomadaires avec les chefs d'équipe de Cognizant et demandait à plusieurs reprises la confirmation que les procédures de sécurité mises à jour avaient été mises en œuvre.

    En février 2023, un responsable du service d'assistance de Cognizant a confirmé la fin de la formation en indiquant « Formation de l'équipe ». Cependant, l'attaque d'août a révélé que ces assurances étaient fausses.

    « La cyberattaque a révélé que tout cela n'était qu'un mensonge dévastateur », indique la plainte. « Si Cognizant avait correctement formé son personnel du service d'assistance aux politiques et procédures de Clorox ou aux normes de base du secteur, la cyberattaque n'aurait jamais eu lieu. »

    Au-delà de la violation initiale, les défaillances de Cognizant se sont poursuivies pendant la réponse à l'incident. Lorsque Clorox a détecté l'intrusion dans les trois heures, le procès allègue que Cognizant a mis plus d'une heure pour réinstaller un outil de cybersécurité essentiel qui aurait dû prendre 15 minutes, et a fourni des listes d'adresses IP incorrectes qui ont entraîné un retard de huit heures dans les mesures de confinement.

    « La cyberattaque a contraint Clorox à mettre ses systèmes hors ligne, à suspendre sa production et à recourir au traitement manuel des commandes pendant plusieurs semaines », indique le communiqué. La cyberattaque a causé à Clorox environ 380 millions de dollars de dommages, dont plus de 49 millions de dollars en coûts de réparation et « des centaines de millions de dollars en pertes liées à l'interruption de ses activités », selon la plainte.

    Source : plainte

    Et vous ?

    Quelle lecture faites-vous de cette situation ?

    Que pensez-vous de la réaction de Cognizant ?

    Peut-on encore confier des fonctions critiques à des prestataires sans un audit opérationnel régulier ?

    Les contrats d’externalisation IT prévoient-ils des clauses suffisamment strictes pour encadrer la cybersécurité ?

    À quel point un donneur d’ordre peut-il être tenu responsable des failles de son sous-traitant ?
    Images attachées Images attachées
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
    Répondre avec citation Répondre avec citation   13  0
ActualitésTUTORIELSFAQsLIVRESTELECHARGEMENTSSOURCESDEBATSWIKIDICOCALENDRIERHUMOUR
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. Modem - Comment accepter un appel vocal entrant ?
    Par julienito dans le forum Développement
    Réponses: 1
    Dernier message: 25/06/2005, 00h52
  2. Comment eviter l'appel de la methode mere surchargée
    Par kiroukou dans le forum C++
    Réponses: 5
    Dernier message: 10/03/2005, 18h41
  3. Comment connaitre l'appelant d'une méthode
    Par Alec6 dans le forum API standards et tierces
    Réponses: 5
    Dernier message: 12/07/2004, 15h51
  4. [VB.NET] Comment faire un appel de fonction ?
    Par Webman dans le forum ASP.NET
    Réponses: 4
    Dernier message: 18/05/2004, 11h06
  5. [Swing][boucles] for, do, if .....comment faire simple?
    Par chastel dans le forum AWT/Swing
    Réponses: 7
    Dernier message: 02/05/2004, 23h49

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo