En août 2023, Clorox, géant américain des produits ménagers, subit un cyberassaut d’une ampleur exceptionnelle. Résultat : plusieurs semaines d’arrêt de production, des pertes estimées à plus de 380 millions de dollars, et une réputation ternie. Mais ce qui scandalise aujourd’hui, c’est la cause de la brèche : le service d’assistance informatique (help desk) d’un prestataire a tout simplement transmis les identifiants de connexion à des pirates... qui les ont demandés au téléphone. C'est en tout cas ce que prétend l'entreprise dans la procédure judiciaire qu'elle a entamé : Clorox a déposé une plainte contre Cognizant Technology Solutions, l’un de ses prestataires IT. Ce dernier est accusé de négligence grave, manquements contractuels et fausse représentation.Le géant américain des produits d'entretien et d'entretien ménager Clorox a intenté une action en justice de 380 millions de dollars contre le fournisseur de services informatiques Cognizant, alléguant que le personnel du service d'assistance de l'entreprise avait communiqué les mots de passe réseau à des cybercriminels qui les avaient simplement demandés par téléphone, sans poser aucune question.
La plainte déposée mardi devant la Cour supérieure du comté d'Alameda comprend des enregistrements de conversations qui révèlent la simplicité stupéfiante de l'attaque d'août 2023, qui a causé 380 millions de dollars de dommages à l'entreprise de biens de consommation.
« Quel est le mot de passe ? » « Welcome... »
La plainte comprend des transcriptions mot pour mot montrant à quel point il était facile pour les pirates d'accéder au réseau de Clorox. Dans un échange qui illustre parfaitement la faille de sécurité, un cybercriminel a simplement déclaré qu'il ne pouvait pas se connecter sans mot de passe.
« Je n'ai pas de mot de passe, donc je ne peux pas me connecter », a déclaré le pirate.
« Oh, d'accord. D'accord. Je vais vous donner le mot de passe, d'accord ? » a immédiatement répondu l'agent de Cognizant, avant de lui communiquer le mot de passe commençant par « Welcome... ».
Ce schéma s'est répété tout au long de la journée du 11 août 2023, les cybercriminels réussissant à obtenir la réinitialisation des mots de passe, la réinitialisation de l'authentification multifactorielle et même la modification des numéros de téléphone pour l'authentification par SMS, le tout sans fournir de numéros d'identification d'employés, de noms de responsables ou toute autre vérification.
« La violation n'a pas été causée par un logiciel malveillant ou une faille zero-day, mais par l'absence de vérification élémentaire », a déclaré Sanchit Vir Gogia, analyste en chef chez Greyhound Research. « Les entreprises ne doivent plus assimiler l'externalisation à une abdication. »
Envoyé par extrait de la plainteDepuis plus d'une décennie, Clorox a confié à Cognizant, leader autoproclamé des services numériques et de cybersécurité, des rôles essentiels dans son environnement informatique. L'une de ces tâches était aussi cruciale que fondamentale : Cognizant a aidé à protéger la porte d'entrée.
Cognizant a mis en place un service d'assistance (« Service Desk ») auquel les employés de Clorox pouvaient s'adresser lorsqu'ils avaient besoin d'aide pour récupérer ou réinitialiser leur mot de passe. Le fonctionnement du Service Desk de Cognizant était soumis à une exigence simple et logique : ne jamais réinitialiser les identifiants d'un utilisateur sans l'avoir préalablement authentifié. Clorox a facilité la tâche de Cognizant en lui fournissant des procédures simples à suivre pour toute demande d'aide à la récupération ou à la réinitialisation d'identifiants.
Bien qu'elle ait assuré à Clorox qu'elle respectait ces procédures, la conduite de Cognizant le 11 août 2023 a démontré de manière spectaculaire qu'elle ne le faisait pas. Cognizant a à plusieurs reprises donné à un cybercriminel l'accès au réseau de Clorox en lui remettant des identifiants sans les authentifier correctement ni suivre la procédure de Clorox.
Les défaillances de Cognizant ont entraîné une cyberattaque catastrophique contre Clorox (« cyberattaque »).
Cognizant n'a pas été victime d'une ruse élaborée ni de techniques de piratage sophistiquées. Le cybercriminel a simplement appelé le service d'assistance de Cognizant, demandé les identifiants pour accéder au réseau de Clorox, et Cognizant les lui a fournis sans hésiter. Cognizant a été enregistré en train de remettre les clés du réseau d'entreprise de Clorox au cybercriminel, sans poser aucune question d'authentification :
Le cybercriminel a ensuite utilisé ces identifiants, ainsi que d'autres obtenus le même jour lors d'appels similaires au service d'assistance, pour attaquer Clorox.
La cyberattaque qui en a résulté a été dévastatrice. Elle a paralysé le réseau d'entreprise de Clorox et paralysé ses activités commerciales. Pour ne rien arranger, lorsque Clorox a fait appel à Cognizant pour fournir des services d'intervention en cas d'incident et de reprise après sinistre, Cognizant a bâclé sa réponse et aggravé les dommages qu'il avait déjà causés.
Cognizant a mis en place un service d'assistance (« Service Desk ») auquel les employés de Clorox pouvaient s'adresser lorsqu'ils avaient besoin d'aide pour récupérer ou réinitialiser leur mot de passe. Le fonctionnement du Service Desk de Cognizant était soumis à une exigence simple et logique : ne jamais réinitialiser les identifiants d'un utilisateur sans l'avoir préalablement authentifié. Clorox a facilité la tâche de Cognizant en lui fournissant des procédures simples à suivre pour toute demande d'aide à la récupération ou à la réinitialisation d'identifiants.
Bien qu'elle ait assuré à Clorox qu'elle respectait ces procédures, la conduite de Cognizant le 11 août 2023 a démontré de manière spectaculaire qu'elle ne le faisait pas. Cognizant a à plusieurs reprises donné à un cybercriminel l'accès au réseau de Clorox en lui remettant des identifiants sans les authentifier correctement ni suivre la procédure de Clorox.
Les défaillances de Cognizant ont entraîné une cyberattaque catastrophique contre Clorox (« cyberattaque »).
Cognizant n'a pas été victime d'une ruse élaborée ni de techniques de piratage sophistiquées. Le cybercriminel a simplement appelé le service d'assistance de Cognizant, demandé les identifiants pour accéder au réseau de Clorox, et Cognizant les lui a fournis sans hésiter. Cognizant a été enregistré en train de remettre les clés du réseau d'entreprise de Clorox au cybercriminel, sans poser aucune question d'authentification :
- Cybercriminel : Je n'ai pas de mot de passe, je ne peux donc pas me connecter.
- Agent Cognizant : Oh, d'accord. D'accord. Je vais vous donner le mot de passe, d'accord ?
- Cybercriminel : D'accord. Oui. C'est quoi le mot de passe ?
- Agent Cognizant : Un instant. Il commence par le mot « Welcome... »
Le cybercriminel a ensuite utilisé ces identifiants, ainsi que d'autres obtenus le même jour lors d'appels similaires au service d'assistance, pour attaquer Clorox.
La cyberattaque qui en a résulté a été dévastatrice. Elle a paralysé le réseau d'entreprise de Clorox et paralysé ses activités commerciales. Pour ne rien arranger, lorsque Clorox a fait appel à Cognizant pour fournir des services d'intervention en cas d'incident et de reprise après sinistre, Cognizant a bâclé sa réponse et aggravé les dommages qu'il avait déjà causés.
14 août 2023 – Clorox détecte une activité inhabituelle sur ses systèmes informatiques, ce qui l'incite à prendre des mesures immédiates. L'entreprise met hors ligne les systèmes concernés afin d'empêcher tout nouvel accès non autorisé. Les forces de l'ordre sont également sollicitées pour enquêter sur cette violation, soulignant la gravité de la situation.
17 août 2023 – Trois jours après la détection initiale, Clorox a activé ses plans de continuité des activités. Cela impliquait le retour à des processus manuels pour le traitement des commandes et la communication avec les clients. L'entreprise a informé sa clientèle qu'un retour complet à des niveaux de service normaux prendrait un certain temps, sans préciser combien.
5 septembre 2023 – Près d'un mois après le début de la crise, Clorox a mis en place une solution provisoire permettant le traitement manuel des commandes et des expéditions. Les activités de production ont repris et l'entreprise a maintenu une communication constante avec ses clients afin de répondre à leurs besoins et préoccupations immédiats.
18 septembre 2023 – Malgré les efforts déployés pour gérer la crise, les perturbations opérationnelles se sont poursuivies. Clorox a dû réduire ses capacités de traitement des commandes, ce qui a entraîné une diminution de la disponibilité des produits dans les points de vente au détail. Cette période a marqué un tournant critique dans l'incident, l'entreprise reconnaissant les difficultés persistantes pour rétablir le fonctionnement normal.
29 septembre 2023 – Tous les sites de production ont été déclarés à nouveau opérationnels et Clorox a entamé le processus de transition vers le traitement automatisé des commandes. Cependant, l'entreprise a également révélé que l'incident avait eu un impact significatif sur ses résultats financiers du premier trimestre de cette année-là, signalant les conséquences à long terme de la cyberattaque.
Une attaque attribuée à des spécialistes en ingénierie sociale
La cyberattaque de 2023 a été attribuée à Scattered Spider, un groupe cybercriminel connu pour ses campagnes sophistiquées d'ingénierie sociale ciblant les services d'assistance informatique. Cependant, dans ce cas précis, les attaquants ont réussi à atteindre leur but grâce à des tactiques remarquablement basiques plutôt qu'à des méthodes techniques avancées.
« Le succès de Scattered Spider avec un simple appel "veuillez réinitialiser mon mot de passe" confirme que les acteurs malveillants essaieront toujours d'abord l'ingénierie sociale la moins coûteuse et ne passeront au clonage vocal ou aux deepfakes que si les astuces simples échouent », a déclaré Prabhjyot Kaur, analyste senior chez Everest Group.
Le dossier judiciaire détaille comment les attaquants ont utilisé des approches identiques pour compromettre systématiquement les comptes de plusieurs employés de Clorox. Après avoir obtenu un accès initial grâce aux identifiants d'un employé, ils ont rappelé plusieurs fois le même jour pour réinitialiser les identifiants MFA de ce même employé, les agents de Cognizant se conformant à chaque fois sans remettre en question ce comportement inhabituel.
[B]Réaction de Cognizant : « Ce...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
